Критическая уязвимость в Google: номера телефонов пользователей под угрозой

Критическая уязвимость в Google: номера телефонов пользователей под угрозой
Критическая уязвимость в Google: номера телефонов пользователей под угрозой (источник изображения)

Критическая уязвимость в Google позволяла узнать номер телефона пользователя

Независимый исследователь в области кибербезопасности обнаружил критическую уязвимость в системе Google, которая позволяла узнать номер телефона, привязанный к аккаунту для восстановления, без ведома владельца. С помощью скрипта исследователь смог получить номер телефона менее чем за 20 минут.

Как работала уязвимость

Уязвимость, как поясняет издание TechCrunch, заключалась в использовании так называемой цепочки атак, включающей несколько этапов. С её помощью исследователь под ником Brutecat мог определить полное имя владельца аккаунта и обойти защиту от автоматизированных запросов, установленную Google для предотвращения злоупотреблений.

После этого он перебирал возможные комбинации телефонных номеров в течение нескольких минут и определял правильный вариант.

Проверка уязвимости

Журналисты TechCrunch решили проверить, как всё это работает. Они создали новый аккаунт Google с ранее неиспользованным телефонным номером и передали Brutecat только адрес электронной почты. Через короткое время исследователь сообщил им точный номер, привязанный к учётной записи.

Потенциальные риски

Следующим этапом потенциальной атаки мог бы стать метод подмены SIM-карты (SIM-своп), при котором злоумышленник перехватывает контроль над номером телефона. После этого можно сбросить пароли практически во всех сервисах, где он указан.

Решение проблемы

Проблема была решена в апреле после того, как исследователь сообщил о ней в Google. Представитель компании Кимберли Самра (Kimberly Samra) поблагодарила Brutecat за найденную уязвимость и отметила важность сотрудничества с экспертами по безопасности.

В рамках программы поощрения за обнаруженные ошибки исследователь получил $5000.

Заключение

Примечательно, что с учётом потенциального риска TechCrunch держал эту историю в тайне до тех пор, пока уязвимость не была устранена. По данным Google, на момент публикации статьи не было подтверждённых случаев использования данного эксплойта в реальных атаках.

Этот случай подчеркивает важность постоянного мониторинга и улучшения безопасности онлайн-сервисов, а также необходимость сотрудничества между экспертами по безопасности и компаниями для защиты пользователей.

Метки
Share Article
News Express Team
News Express Team

Команда News Express, состоящая из опытных редакторов и журналистов, предоставляет своевременные и надежные репортажи о российской политике, экономике, технологиях и мировых событиях с уникальной региональной точки зрения. Будьте в курсе событий с нашими преданными журналистами.

Сейчас популярно

Гейтс и Торвальдс встретились после десятилетий соперничества
Гейтс и Торвальдс встретились после десятилетий соперничества
Подрыв моста в Брянской области: погибли 7 человек
Уиткофф: условия ХАМАС для перемирия в секторе Газа неприемлемы
Уиткофф: условия ХАМАС для перемирия в секторе Газа неприемлемы
В Европе готовятся к возможному отказу Трампа от поддержки Украины
В Европе готовятся к возможному отказу Трампа от поддержки Украины
ru_RURU
en_USEN ru_RURU