Kritinė „Google“ spraga: bet kurio vartotojo telefono numerį buvo galima sužinoti per 20 minučių

Nepriklausomas kibernetinio saugumo tyrėjas aptiko kritinę „Google“ sistemos spragą, leidusią sužinoti prie paskyros atkūrimo susietą telefono numerį be savininko žinios. Naudodamas kodą, tyrėjas sugebėjo gauti telefono numerį per mažiau nei 20 minučių.

„TechCrunch“ aiškina, kad spraga buvo susijusi su vadinamosios atakos grandinės naudojimu, apimančia kelis etapus. Jos dėka hakeris, pasivadinęs Brutecat, galėjo nustatyti pilną paskyros savininko vardą ir apeiti „Google“ apsaugą nuo automatizuotų užklausų, skirtą užkirsti kelią piktnaudžiavimui. Po to jis per kelias minutes išbandė galimas telefono numerių kombinacijas ir nustatė teisingą variantą.

„TechCrunch“ žurnalistai nusprendė patikrinti, kaip tai veikia. Jie sukūrė naują „Google“ paskyrą su anksčiau nenaudotu telefono numeriu ir Brutecat perdavė tik elektroninio pašto adresą. Netrukus tyrėjas jiems pranešė tikslų su paskyra susietą numerį. Kitas galimos atakos etapas galėjo būti SIM kortelės perėmimo (SIM-swap) metodas, kai užpuolikas perima telefono numerio kontrolę. Po to galima iš naujo nustatyti slaptažodžius beveik visuose paslaugose, kuriose šis numeris nurodytas.

Problema buvo išspręsta balandį, kai tyrėjas apie ją pranešė „Google“. Bendrovės atstovė Kimberly Samra padėkojo Brutecat už aptiktą spragą ir pabrėžė bendradarbiavimo su saugumo ekspertais svarbą. Pagal klaidų aptikimo skatinimo programą žmogus gavo 5000 USD atlygį.

Verta paminėti, kad, atsižvelgdami į galimą riziką, „TechCrunch“ šią istoriją laikė paslaptyje, kol spraga nebuvo pašalinta. „Google“ duomenimis, iki straipsnio publikavimo nebuvo patvirtintų atvejų, kad šis trūkumas būtų panaudotas realiose atakose.