Изследовател по киберсигурност, известен под псевдонима BruteCat, разкри сериозна уязвимост в остарял механизъм за възстановяване на потребителско име в Google, която е позволявала разкриване на телефонни номера, свързани с конкретни профили, само чрез знанието на името на потребителя и част от телефонния номер.
Уязвимостта създава сериозни рискове от фишинг, социално инженерство и SIM суап атаки, особено когато се използва за комбинирано събиране на лични данни от различни източници.
BruteCat е използвал стара версия на формата за възстановяване на потребителско име, предназначена за браузъри без JavaScript. Тази версия липсвала съвременни защити срещу злоупотреба, включително ефективно ограничаване на заявките и CAPTCHA механизми.
Формата е позволявала да се направи справка дали даден телефонен номер е свързан с определено профилно име чрез две последователни POST заявки. За да заобиколи ограничението по IP адрес, изследователят е използвал ротация на IPv6 адреси, позволяваща изпращането на милиони заявки от уникални адреси чрез /64 подсетки.
BruteCat е създал собствен инструмент за брутфорс атаки – gpb, който автоматично:
Генерира реалистични телефонни номера по държави (с помощта на libphonenumber от Google)
Използва валидни BotGuard токени, извлечени от нормалната (JS-enabled) версия на формата
Бази данни за номерационни формати по региони
Headless Chrome скрипт за автоматизация
При скорост на атака от 40,000 заявки в секунда, американски номера биха могли да бъдат проверени за около 20 минути, а в страни като Холандия – за под 15 секунди.
За да се стартира такава атака, обикновено е необходим имейл адресът на целта, който Google крие от 2024 г. BruteCat е открил метод да го получи чрез Looker Studio – като създаде документ и го „прехвърли“ на целевия Gmail. Това показва публичното име на потребителя, от което може да се изгради асоциация.
Допълнително, чрез функцията за възстановяване на акаунт, Google показва две цифри от регистрирания телефонен номер, което допълнително улеснява филтрирането на валидни комбинации. Други услуги като PayPal показват още повече цифри при възстановяване на пароли.
Разкриването на телефонен номер, асоцииран с Google акаунт, е сериозна заплаха за сигурността. Подобна информация може да бъде използвана в:
Vishing атаки (гласови фишинг обаждания с цел измама)
SIM swap атаки, при които нападател прехвърля мобилен номер на своя SIM карта, за да получи контрол над SMS-базирани двуфакторни кодове
Целенасочени фишинг кампании, използващи името, имейла и номера на жертвата
BruteCat е съобщил уязвимостта на Google на 14 април 2025 г. Първоначално компанията я е оценена като с нисък риск, но по-късно – на 22 май 2025 г., е прекласифицирана като уязвимост със средна тежест. Били са приложени междинни защитни мерки, а изследователят е получил награда от $5,000 чрез програмата за уязвимости на Google (VRP).
На 6 юни 2025 г., Google официално обяви, че вече напълно е премахната уязвимата форма, което прави вектора за атака неизползваем.
Въпреки че няма публична информация дали уязвимостта е била използвана злонамерено преди откриването ѝ, потенциалът ѝ за масови злоупотреби е безспорен.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
