Google is binnengekomen om een beveiligingsfout aan te pakken die het mogelijk had kunnen maken om het herstelnummer van een account te brute, waardoor ze mogelijk worden blootgesteld aan privacy- en beveiligingsrisico’s.
De kwestie, volgens Singaporese beveiligingsonderzoeker “Bruteecat”, maakt gebruik van een probleem in de functie Record Recovery van het bedrijf.
Dat gezegd hebbende, het benutten van de kwetsbaarheid hangt af van verschillende bewegende delen, met name gericht op een inmiddels uitgesproken JavaScript-Disabled-versie van de Google Username Recovery Form (“Accounts.google (.) Com/Signin/userNamerecovery”)) die ontbrak aan bescherming tegen misbruik die is ontworpen om spammyaanvragen te voorkomen.
De pagina in kwestie is ontworpen om gebruikers te helpen controleren of een herstel -e -mail of telefoonnummer is gekoppeld aan een specifieke weergave (bijv. John Smith “).
Maar het omzeilen van de op CAPTCHA gebaseerde tarieflimiet maakte het uiteindelijk mogelijk om alle permutaties van het telefoonnummer van een Google-account in een korte tijdstip uit te proberen en binnen enkele seconden of minuten aan te komen, afhankelijk van de lengte van het telefoonnummer (dat varieert van land tot land).
Een aanvaller zou ook kunnen profiteren van Google’s vergeten wachtwoordstroom om de landcode te achterhalen die is gekoppeld aan het telefoonnummer van een slachtoffer, evenals zijn weergave -naam te verkrijgen door een Looker Studio -document te maken en eigendom over te dragen aan het slachtoffer, waardoor hun volledige naam effectief wordt gelekt op de startpagina.
In totaal vereist de exploit het uitvoeren van de volgende stappen –
- Lek de weergavenaam van de Google Account via Looker Studio
- Voer de wachtwoordstroom vergeten voor een doel -e -mailadres uit om het gemaskerde telefoonnummer te krijgen met de laatste 2 cijfers die aan de aanvaller worden weergegeven (bijv. •• ••••••• 03)
- Brute-force het telefoonnummer tegen het eindpunt van de gebruikersnaam om het telefoonnummer bruut te krijgen.
Brutecat zei dat een op Singapore gebaseerd nummer zou kunnen worden gelekt met behulp van de bovengenoemde techniek in een periode van 5 seconden, terwijl een Amerikaans nummer in ongeveer 20 minuten kon worden ontmaskerd.
https://www.youtube.com/watch?v=am3iplyz4sw
Gewapend met de kennis van een telefoonnummer dat aan een Google-account is gekoppeld, kan een slechte acteur de controle overnemen via een sim-swapping-aanval en uiteindelijk het wachtwoord opnieuw instellen van elk account dat aan dat telefoonnummer is gekoppeld.
Na verantwoorde openbaarmaking op 14 april 2025, gaf Google de onderzoeker een bug-bounty van $ 5.000 toe en stak de kwetsbaarheid aan door het niet-JavaScript-gebruikersnaamherstelformulier volledig kwijt te raken vanaf 6 juni 2025.
De bevindingen komen maanden na dezelfde onderzoeker beschreven nog eens $ 10.000 exploit dat een aanvaller had kunnen bewapenen om het e -mailadres van elke YouTube -kanaaleigenaar bloot te leggen door een fout in de YouTube API en een verouderde web -API geassocieerd met pixelrecorder te keren.
Vervolgens onthulde Brutecat ook dat het mogelijk is om e -mailadressen te verzamelen die behoren tot makers die deel uitmaken van het YouTube Partner Program (YPP) door gebruik te maken van een toegangscontroleprobleem in het eindpunt “/get_creator_channels”, waardoor ze een beloning van $ 20.000 verdienen.
“(AN) Probleem met toegangscontrole in /get_creator_channels lekt kanaal contentOwnerAssociation, wat leidt tot openbaarmaking van het kanaal e -mailadres via content ID API,” zei Google.
“Een aanvaller met toegang tot een Google-account met een kanaal dat lid werd van het YouTube-partnerprogramma (meer dan 3 miljoen kanalen) kan het e-mailadres verkrijgen en inkomstengegevens van een ander kanaal in het YouTube-partnerprogramma. De aanvaller kan dit gebruiken om een Youtuber te de-anonimiseren (omdat er een verwachting is van pseudo-anoniem in YouTube), of PHISH Theme.”
