Badacz bezpieczeństwa o pseudonimie brutecat odkrył poważny błąd w systemie odzyskiwania kont Google. Luka pozwalała ustalić prywatny numer telefonu przypisany do konta – i to bez wiedzy jego właściciela. Takie informacje mogły posłużyć do ataków np. przejęcia konta przez tzw. SIM swap, czyli podszycie się pod właściciela numeru u operatora.
Badacz zgłosił problem do Google w kwietniu. Firma potwierdziła, że luka została już naprawiona. Luka została wykorzystana przez wspomnianego badacza, który najpierw zdobywał pełną nazwę właściciela konta, potem ominął zabezpieczenia przeciw botom, aż w końcu był w stanie dostać się do wrażliwych danych. Cały proces był zautomatyzowany i trwał mniej niż 20 minut.
Poważna luka bezpieczeństwa odkryta w systemie Google
Aby potwierdzić skuteczność metody, dziennikarze z serwisu TechCrunch założyli nowe konto Google z nieużywanym wcześniej numerem telefonu. Po podaniu samego adresu e-mail, brutecat błyskawicznie podał poprawny numer, potwierdzając, iż metoda działa.
Badacz bezpieczeństwa o pseudonimie brutecat odkrył poważny błąd w systemie odzyskiwania kont Google. Luka pozwalała ustalić prywatny numer telefonu przypisany do konta – i to bez wiedzy jego właściciela.
Choć atak wymagał pewnej wiedzy, jego skutki mogły być poważne. Znajomość prywatnego numeru przypisanego do konta Google ułatwia jego przejęcie. Z tego powodu redakcja TechCrunch wstrzymała publikację tekstu aż do momentu usunięcia luki.
Google potwierdziło, że problem został rozwiązany, podziękowało badaczowi i przypomniało o swojej współpracy ze społecznością ekspertów w ramach programu nagród za znalezione błędy. Firma nie odnotowała żadnych przypadków wykorzystania tej luki w praktyce. Za zgłoszenie błędu brutecat otrzymał od Google 5 tysięcy dolarów nagrody.
Pokaż / Dodaj komentarze do: Poważna luka odkryta w systemie Google. Wrażliwe dane udostępnione