Um pesquisador independente de segurança cibernética descobriu uma vulnerabilidade crítica no sistema do Google que permitiu que o número de telefone associado a uma conta de recuperação fosse descoberto sem o conhecimento do proprietário. Usando um script, o pesquisador conseguiu obter o número de telefone em menos de 20 minutos.
Fonte da imagem: Firmbee.com/Unsplash
A vulnerabilidade, como explica o TechCrunch, envolvia o uso da chamada cadeia de ataque, que envolvia várias etapas. Com a ajuda dela, um pesquisador apelidado de Brutecat conseguiu determinar o nome completo do titular da conta e contornar a proteção contra solicitações automatizadas que o Google havia instalado para evitar abusos. Ele então tentou combinações possíveis de números de telefone por vários minutos e determinou a correta.
Jornalistas do TechCrunch decidiram verificar como tudo funciona. Eles criaram uma nova conta do Google com um número de telefone não utilizado anteriormente e forneceram ao Brutecat apenas o endereço de e-mail. Após um curto período, o pesquisador forneceu o número exato associado à conta. O próximo passo de um possível ataque poderia ser um método de troca de SIM, no qual o invasor assume o controle do número de telefone. Depois disso, é possível redefinir senhas para quase todos os serviços onde ele está listado.
O problema foi corrigido em abril, após o pesquisador reportá-lo ao Google. A porta-voz do Google, Kimberly Samra, agradeceu à Brutecat por encontrar a vulnerabilidade e destacou a importância da colaboração com especialistas em segurança. O pesquisador recebeu US$ 5.000 do programa de recompensa por bugs.
Notavelmente, dado o risco potencial, o TechCrunch manteve a história em segredo até que a vulnerabilidade fosse corrigida. De acordo com o Google, não havia casos confirmados de uso do exploit em ataques reais até o momento da publicação.