Энтузиаст обнаружил уязвимость в системе авторизации Google, которая позволяет злоумышленнику узнать привязанный номер телефона и украсть аккаунт со всеми данными. Об этом пишет xaker.ru.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Согласно источнику, независимый исследователь кибербезопасности с ником BruteCat нашел способ выудить из базы данных Google резервный номер телефона и адрес электронной почты, которые владелец аккаунта использовал для восстановления доступа. Для этой цели используется устаревшая форма Google с отключенными JavaScript — в ней отсутствуют современные механизмы защиты данных. Страничка используется, чтобы помочь пользователям проверить привязку номера телефона и email к определенному имени аккаунта.

С помощью пары запросов в эту устаревшую форму энтузиаст сумел получить привязку имени пользователя к номеру телефона, обойдя примитивную защиту «капчу» от ботов. В итоге он подобрал верный телефон с помощью простого инструмента для перебора — сделать это в диапазонах разных стран удалось в течение 5-15 секунд, а в случае с США (очень большой пул номеров) — до 20 минут. Любопытно, что для всего этого он использовал модифицированную версию Chrome. 


^{Фото: xaker.ru}

Таким образом, зная имя аккаунта, можно вычислить привязанный к нему номер телефона и угнать учетную запись, подменив SIM-карту и получив код проверки. Получается, из-за глупой ошибки разработчиков Google можно было лишиться своих данных в облаке до 6 июня — с этой даты уязвимость была закрыта. Однако если злоумышленники собрали данные ранее, то угнать аккаунт они смогут и в будущем.