Google закрыл дыру, позволявшую подбирать номер по имени аккаунта

Google закрыл дыру, позволявшую подбирать номер по имени аккаунта

Google закрыл дыру, позволявшую подбирать номер по имени аккаунта

Исследователь под ником BruteCat обнаружил, что перебором можно было узнать номер телефона, привязанный к аккаунту Google, если знать имя пользователя и часть номера. Уязвимость оказалась в старой версии формы восстановления имени пользователя, которая работала без JavaScript — и, как выяснилось, без современной защиты.

Как всё работало

Форма позволяла отправить запросы с именем пользователя и номером телефона — и в ответ возвращала ответ, существует ли такой аккаунт. Всё это делалось с помощью двух POST-запросов. Формально защита была, но:

  • Ограничение по числу запросов обошли с помощью IPv6-ротации — через /64-подсети можно было генерировать триллионы уникальных IP-адресов.
  • CAPTCHA блокировали не всех — её удалось обойти, подставляя валидный BotGuard-токен от JS-версии формы.

Что использовал исследователь

BruteCat создал утилиту gpb, которая:

  • Перебирала номера по шаблонам, учитывающим формат номеров в конкретной стране;
  • Работала с библиотекой libphonenumber от Google;
  • Автоматически получала BotGuard-токены через headless Chrome;
  • Отправляла до 40 000 запросов в секунду.

Например, на подбор американского номера уходило около 20 минут, на британский — 4 минуты, на нидерландский — всего 15 секунд.

 

Как добывались недостающие цифры

Чтобы сузить круг поиска, исследователь получал часть номера из:

  1. Формы восстановления аккаунта Google — она показывает две цифры;
  2. Сторонних сервисов, например PayPal, где в процессе сброса пароля можно увидеть больше цифр (например, +14•••••1779).

А имейл-адрес пользователя, который Google больше не показывает напрямую, BruteCat доставал через Looker Studio: создаётся документ, передаётся на владение жертве — и её имя появляется в панели управления.

Чем это опасно

Если злоумышленник узнает привязанный номер телефона:

  • Он может начать вишинг (мошеннические звонки с целью выманить данные);
  • Провести СИМ-свопинг и получить контроль над номером;
  • Использовать номер для сброса паролей и доступа к другим сервисам.

Реакция Google

  • BruteCat сообщил об уязвимости 14 апреля 2025 года через программу вознаграждений Google.
  • Сначала баг не восприняли всерьёз.
  • 22 мая Google изменила оценку на «среднюю» степень риска и выпустила частичные патчи, выплатив исследователю $5 000.
  • 6 июня Google окончательно закрыла уязвимую JS-disabled форму.

Использовали ли уязвимость злоумышленники до её закрытия — неизвестно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Прокуратура Москвы рассказала о новом скрипте мошенников

Мошенники начали использовать новый сценарий обмана, представляясь сотрудниками службы по защите прав потребителей. Под предлогом «спасения сбережений» от якобы кражи, злоумышленники убеждают жертв передать наличные деньги курьерам. Один из последних случаев закончился хищением 5 млн рублей у пожилой пары в Москве.

О появлении новой схемы сообщил ТАСС со ссылкой на прокуратуру Москвы. По данным ведомства, мошенники действовали под видом представителей службы по защите прав потребителей и выманили крупную сумму у 78-летнего москвича и его супруги.

«Новая "маска" телефонных мошенников — теперь они представляются службой защиты прав потребителей. Именно из этой "службы" позвонил 78-летнему москвичу "ведущий сотрудник". Некий мужчина, представившийся Алексеем Федоровичем, сообщил, что деньги пенсионера похищены, но можно их вернуть. Для этого необходимо выполнять все указания и придумать кодовое слово для дальнейшего общения», — приводит ТАСС выдержку из сообщения надзорного ведомства.

По легенде мошенников, на счет одного из супругов должна была поступить компенсация, которую требовалось передать «специалистам» службы через курьеров. Пенсионеры несколько раз снимали крупные суммы со своих счетов и передавали деньги людям, называвшим согласованное кодовое слово. В итоге они лишились около 5 млн рублей.

«Кодовое слово — верный признак мошенничества. Как только по телефону просят передать сбережения курьеру — прекратите общение, положите трубку. Остались сомнения — самостоятельно проверьте информацию, позвонив в тот орган или организацию, от имени которых якобы поступил звонок», — предупредили в прокуратуре Москвы.

Ранее аферисты уже использовали похожие схемы, включая случаи, когда жертв просили не передавать деньги лично, а оставлять их в почтовых ящиках. При этом структура сценариев и легенд остаётся неизменной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru