GreatFire просит Google развязать информационную войну с Китаем

Google призывает бросить вызов китайской цензуре

Кирилл Токарев 26 Ноября 2013 - 13:16

Корпорации

Государство

Google

Системы защиты личных данных

Средства криптографической защиты информации

...

Организация по борьбе с цензурой в Интернете предлагает Эрику Шмидту и корпорации Google обрушить защиту Китая от неподобающей информации. Представители сайта GreatFire.org советуют поисковому гиганту перевести движок в Китае на HTTPS по умолчанию (точно также как и в США). Из-за этого Пекин будет вынужден либо полностью отказаться Google или оставить попытки ввести цензуру в Сети.

Отметим, что сейчас Google и правительство Китая сотрудничают, осуществляя блокировку по определенным поисковым запросам. GreatFire.org предлагает еще один метод борьбы с цензурой. Организация предлагает Google перенаплавлять пользователей которые хотят посмотреть заблокированные сайты, на зеркальные копии этих ресурсов, которые размешает на серверах Chocolate Factory.

GreatFire.org недавно начала заниматься зеркальным размещением вебсайтов, чтобы обеспечить пользователям, находящимся за Великим Китайским Файэрволом доступ к Reuters China и China Digital Times.

Google обладает рычагами влияния на Пекин. Многие сервисы Google сейчас чрезвычайно важны для пользователей и предприятий. Блокировка всех этих ресурсов может иметь неблагоприятные коммерческие последствия для Китая. Сегодня компании принадлежит менее 5% китайского поискового рынка. Корпорация мало зарабатывает от Android, из-за распространения местных локализированных магазинов программ. Так что у Google мало причин вести себя слишком осторожно в отношении с Пекином. У компании еще есть три офиса в Китае, которые за последние годы не были замечены в особенно рискованных предприятиях.

Эрик Шмидт (Eric Schmidt) во время недавнего выступления заявил, что в ближайшие 10 лет цензура в Интернете может полностью исчезнуть, благодаря постепенному переходу компаний на более надежные системы шифрования. Это высказывание дает надежду GreatFire.org и всем защитникам свободы информации в Сети.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 10 Июня 2025 - 08:59

Уязвимости сайтов Утечки информации Случайные утечки Домашние пользователи Корпорации Google

Google закрыл дыру, позволявшую подбирать номер по имени аккаунта

Исследователь под ником BruteCat обнаружил, что перебором можно было узнать номер телефона, привязанный к аккаунту Google, если знать имя пользователя и часть номера. Уязвимость оказалась в старой версии формы восстановления имени пользователя, которая работала без JavaScript — и, как выяснилось, без современной защиты.

Как всё работало

Форма позволяла отправить запросы с именем пользователя и номером телефона — и в ответ возвращала ответ, существует ли такой аккаунт. Всё это делалось с помощью двух POST-запросов. Формально защита была, но:

Ограничение по числу запросов обошли с помощью IPv6-ротации — через /64-подсети можно было генерировать триллионы уникальных IP-адресов.
CAPTCHA блокировали не всех — её удалось обойти, подставляя валидный BotGuard-токен от JS-версии формы.

Что использовал исследователь

BruteCat создал утилиту gpb, которая:

Перебирала номера по шаблонам, учитывающим формат номеров в конкретной стране;
Работала с библиотекой libphonenumber от Google;
Автоматически получала BotGuard-токены через headless Chrome;
Отправляла до 40 000 запросов в секунду.

Например, на подбор американского номера уходило около 20 минут, на британский — 4 минуты, на нидерландский — всего 15 секунд.

Как добывались недостающие цифры

Чтобы сузить круг поиска, исследователь получал часть номера из:

Формы восстановления аккаунта Google — она показывает две цифры;
Сторонних сервисов, например PayPal, где в процессе сброса пароля можно увидеть больше цифр (например, +14•••••1779).

А имейл-адрес пользователя, который Google больше не показывает напрямую, BruteCat доставал через Looker Studio: создаётся документ, передаётся на владение жертве — и её имя появляется в панели управления.

Чем это опасно

Если злоумышленник узнает привязанный номер телефона:

Он может начать вишинг (мошеннические звонки с целью выманить данные);
Провести СИМ-свопинг и получить контроль над номером;
Использовать номер для сброса паролей и доступа к другим сервисам.

Реакция Google

BruteCat сообщил об уязвимости 14 апреля 2025 года через программу вознаграждений Google.
Сначала баг не восприняли всерьёз.
22 мая Google изменила оценку на «среднюю» степень риска и выпустила частичные патчи, выплатив исследователю $5 000.
6 июня Google окончательно закрыла уязвимую JS-disabled форму.

Использовали ли уязвимость злоумышленники до её закрытия — неизвестно.