Google naprawił poważną lukę w swoim systemie, która umożliwiała zdobycie prywatnego numeru telefonu przypisanego do konta Google (np. Gmaila), bez wiedzy użytkownika. Błąd został odkryty przez niezależnego badacza bezpieczeństwa znanego pod pseudonimem Brutecat, który zgłosił problem w kwietniu.
Firma potwierdziła, iż problem został rozwiązany jeszcze przed publicznym ogłoszeniu o jego istnieniu.
Wystarczył e-mail i odpowiedni skrypt
Internauta odkrył, iż wykorzystując lukę w funkcji odzyskiwania konta, można było metodą prób i błędów odgadnąć numer telefonu powiązany z kontem. najważniejsze było połączenie kilku procesów: najpierw należało poznać pełną nazwę konta, potem obejść zabezpieczenia przeciwko botom, a na końcu odczytać reakcję systemu na różne kombinacje numerów.
Dzięki automatyzacji ataku skryptem cały proces trwał zaledwie kilkanaście minut. TechCrunch, który opisał sprawę, przeprowadził test – stworzył nowe konto Google z wcześniej nieużywanym numerem. Po przesłaniu adresu e-mail badaczowi, ten w krótkim czasie odesłał dokładny numer telefonu przypisany do konta.
Odzyskiwanie konta Gooogle / Źrodło: brutecatCo groziło użytkownikom?
Zdobycie numeru telefonu może wydawać się błahostką, ale w praktyce to poważne zagrożenie dla prywatności. Taki numer można wykorzystać do tzw. SIM swappingu – przejęcia numeru ofiary i uzyskania dostępu do jej kont przez odzyskiwanie haseł SMS-em. To popularna technika wśród cyberprzestępców, która może prowadzić do przejęcia konta Google, Facebooka, a choćby usług bankowych.
- Sprawdź także: ChatGPT ulepszony. Potężny generator zdjęć dostępny za darmo
Google otrzymało zgłoszenie o błędzie w kwietniu i – jak zapewnia – natychmiast przystąpiło do jego naprawy. Do momentu ujawnienia informacji firma nie odnotowała przypadków wykorzystania tej luki przez osoby trzecie. Za wykrycie i zgłoszenie luki Brutecat otrzymał 5 tysięcy dolarów (ok. 18 695 złotych) w ramach programu Bug Bounty. Przedstawicielka Google, Kimberly Samra, podkreśliła, iż kooperacja z niezależnymi badaczami jest kluczowa dla poprawy bezpieczeństwa wszystkich użytkowników.
Wnioski: choćby największym firmom zdarzają się wpadki
Ta sytuacja pokazuje, iż choćby największe platformy, z zaawansowanymi systemami bezpieczeństwa, mogą zawierać luki, które potencjalnie zagrażają milionom użytkowników. Tym razem błąd udało się naprawić, zanim wyrządził szkody, ale to kolejne przypomnienie, iż warto dbać o dodatkowe warstwy ochrony – np. stosować uwierzytelnianie dwuskładnikowe i nie podawać swojego numeru telefonu tam, gdzie nie jest to konieczne.
