Содержание
За свое открытие он получил $5000. И то не с первого раза
Исследователь безопасности обнаружил критическую уязвимость в системе восстановления аккаунтов Google, которая позволяла узнать номера телефонов любых пользователей.
Атака занимала от 15 секунд до 20 минут в зависимости от страны.
Как работала атака
Хакер под псевдонимом BruteCat обнаружил, что форма восстановления Google работает даже с отключенным JavaScript. Обычно такие формы требуют сложную защиту от ботов через JavaScript-код, но эта страница почему-то была доступна.
Уязвимость позволяла исследователям брутфорсить номер телефона для восстановления любого аккаунта Google, просто зная имя профиля и легко извлекаемый частичный номер телефона.
Злоумышленник мог использовать эту информацию для SIM-свопинга и фишинговых атак. Процесс атаки состоял из трех этапов:
- Получение полного имени владельца аккаунта через Google Looker Studio
- Использование функции восстановления пароля для получения подсказки с последними цифрами номера
- Перебор всех возможных комбинаций с помощью специального инструмента
Скорость взлома поражает
Используя потребительский сервер за $0,30 в час, исследователь достигал скорости 40 000 проверок в секунду. Время взлома зависело от страны:
- Нидерланды: 15 секунд
- Сингапур: 5 секунд
- Великобритания: 4 минуты
- США: 20 минут
Такая разница связана с количеством цифр, которые нужно было угадать после получения подсказки.
Обход защиты через IPv6
Изначально Google блокировал IP-адреса после нескольких запросов. Но хакер нашел способ обойти это ограничение, используя IPv6-адреса.
Один провайдер предоставляет 18 квинтиллионов адресов, что позволяло менять IP для каждого запроса.
В macOS появилась уязвимость. Виновата во всем Microsofttproger.ru
Исследователь также обнаружил способ обхода защиты BotGuard, заменив параметр «js_disabled» на настоящий токен из JavaScript-версии формы. Это полностью убрало ограничения на количество запросов.
Реакция Google и устранение проблемы
BruteCat сообщил о находке в Google 14 апреля 2025 года. Компания сначала оценила риск как низкий и выплатила всего $1337. После жалобы исследователя сумма была увеличена до $5000.
6 июня 2025 года Google подтвердил полное отключение уязвимой формы восстановления без JavaScript. Атака больше не работает, но неизвестно, использовали ли её злоумышленники.
Почему это опасно
Получение номера телефона открывает двери для серьезных атак. Хакеры могут:
- Провести SIM-свопинг — перехватить контроль над номером
- Сбросить пароли от других сервисов через SMS
- Организовать целенаправленные фишинговые атаки
- Получить доступ к банковским аккаунтам и криптокошелькам
Раскрытие номера телефона для восстановления может подвергнуть даже анонимные аккаунты Google целенаправленным атакам, таким как попытки захвата.
