Um pesquisador de segurança cibernética foi capaz de descobrir o número de telefone vinculado a qualquer conta do Google, informações que geralmente não são públicas e geralmente são sensíveis, de acordo com o pesquisador, o Google e a 404 Tests da Media.
A questão já foi corrigida, mas na época apresentou uma questão de privacidade, na qual até os hackers com relativamente poucos recursos poderiam ter forçado o seu caminho para as informações pessoais das pessoas.
“Eu acho que essa exploração é muito ruim, pois é basicamente uma mina de ouro para os swappers do Sim”, escreveu o pesquisador de segurança independente que encontrou o problema, que segue o manipulação BruteCat, escreveu em um email. Os swappers sim são hackers que Assuma o número de telefone de um alvo Para receber suas chamadas e textos, que por sua vez podem deixá -los invadir todos os tipos de contas.
Em meados de abril, fornecemos à BruteCat um de nossos endereços pessoais do Gmail para testar a vulnerabilidade. Cerca de seis horas depois, Brutecat respondeu com o número de telefone correto e completo vinculado a essa conta.
“Essencialmente, está subindo o número”, disse Brutecat sobre o processo deles. A força bruta é quando um hacker rapidamente tenta diferentes combinações de dígitos ou personagens até encontrar os que estão buscando. Normalmente, isso está no contexto de encontrar a senha de alguém, mas aqui o BruteCat está fazendo algo semelhante para determinar o número de telefone do usuário do Google.
Brutecat disse em um e -mail que a força bruta leva cerca de uma hora para um número americano ou 8 minutos para um no Reino Unido. Para outros países, pode levar menos de um minuto, disseram eles.
Em um vídeo que o acompanha demonstrando a exploração, BruteCat explica que um invasor precisa do nome de exibição do Google do alvo. Eles acham isso transferindo a propriedade de um documento do produto Looker Studio do Google para o destino, diz o vídeo. Eles dizem que modificaram o nome do documento como milhões de caracteres, que acabam com o alvo que não está sendo notificado do interruptor de propriedade. Usando algum código personalizado, que eles detalhado em sua redaçãoBrutecat então barra o Google com palpites do número de telefone até obter um acerto.
“A vítima não é notificada :)” Uma legenda no vídeo diz.
Um porta -voz do Google disse à 404 Media em uma declaração: “Esta questão foi corrigida. Sempre enfatizamos a importância de trabalhar com a comunidade de pesquisa de segurança por meio de nosso programa de recompensas de vulnerabilidades e queremos agradecer ao pesquisador por sinalizar esse problema. Submissões de pesquisadores como essa são uma das muitas maneiras de encontrar e corrigir rapidamente questões de segurança de nossos usuários.”
Os números de telefone são uma informação importante para SIM Swappers. Esses tipos de hackers foram vinculados a inúmeros hacks de pessoas individuais para Roube nomes de usuário online ou criptomoeda. Mas os sofisticados swappers do SIM também aumentaram para as empresas enormes. Alguns têm trabalhou diretamente com gangues de ransomware da Europa Oriental.
Armado com o número de telefone, um SIM Swapper pode então personificar a vítima e convencer suas telecomunicações a redirecionar mensagens de texto para um cartão SIM que o hacker controla. A partir daí, o hacker pode solicitar mensagens de texto de redefinição de senha ou códigos de autenticação de vários fatores e efetuar login nas contas valiosas da vítima. Isso pode incluir contas que a criptomoeda da loja, ou ainda mais prejudicial, seu email, que por sua vez poderia conceder acesso a muitas outras contas.
Em seu site, o FBI recomenda que as pessoas não anunciem publicamente seu número de telefone por esse motivo. “Proteja suas informações pessoais e financeiras. Não anuncie seu número de telefone, endereço ou ativos financeiros, incluindo propriedade ou investimento de criptomoeda, em sites de mídia social”. O site diz.
Em sua redação, a Brutecat disse que o Google concedeu a eles US $ 5.000 e alguns ganhos por suas descobertas. Inicialmente, o Google marcou a vulnerabilidade como tendo uma baixa chance de exploração. Mais tarde, a empresa atualizou essa probabilidade para a média, de acordo com a redação de Brutecat.