Google-fiókhoz rendelt telefonszám lekérdezése
A Brutecat kutató felfedezte, hogy a Google néhány régi fiók-helyreállítási űrlapja – különösen az olyan, JavaScript nélküli verziója, amelyet már nem használnak – lehetővé tette egy telefonhoz kapcsolódó fiók zárolhatatlan végponti telefonhívószámának kinyerését. A módszer lépései során először le kellett szedni a cél fiók megjelenített nevét (például egy Looker Studio dokumentum átadásával), ezután az elfelejtett jelszó folyamatból származó részleges telefonszám alapján egy bruteforce támadással ellenőrizni lehetett az összes lehetséges számot. Az IPv6 címtartományok segítségével és a botvédelmi tokenek kihasználásával ez a támadás néhány másodperctől néhány percig terjedő idő alatt lefuthatott – például egy holland szám esetén kevesebb, mint 15 másodperc.
A támadás során a kutató sebességét IP-cím forgatással és egy BotGuard tokennel maximalizálta, így egyes országokban (például Egyesült Államokban) körülbelül 20 perc alatt, más övezetekben (például az Egyesült Királyságban) néhány perc alatt felfedte a számokat. A látszólag ártatlannak tűnő, központi szolgáltatások (például Google recovery folyamatok) is támadhatóak, és súlyos visszaéléshez – például SIM-swappinghez – vezethetnek.
A Google gyorsan reagált és a hibát javították, eltávolították a JavaScript nélküli űrlapot, és a kutatót 5 000 dollárral jutalmazták a bug bounty program keretében.
