Um pesquisador de segurança descobriu uma falha preocupante no sistema de recuperação de contas do Google que permitia revelar o número de telefone vinculado a uma conta sem que o dono fosse notificado.
O problema, que poderia facilitar golpes e invasões, já foi corrigido pela empresa após o alerta.
O bug foi identificado por um especialista independente, conhecido como brutecat, que explicou como explorou uma brecha no processo de recuperação de senha do Google.
Combinando técnicas, ele conseguiu contornar as proteções da plataforma e testar diversas combinações de números até descobrir o correto.
Em testes, o pesquisador levou menos de 20 minutos para encontrar um número de telefone associado a uma conta específica.
Para confirmar a falha, o TechCrunch criou uma conta do Google com um número novo e forneceu apenas o e-mail ao pesquisador. Minutos depois, ele respondeu com o número exato cadastrado, mostrando o risco real.
Se explorada por criminosos, essa vulnerabilidade poderia ser usada em ataques como o SIM swap, onde o golpista assume o controle do número para acessar contas bancárias, redes sociais e outros serviços vinculados.
O Google agradeceu ao pesquisador pelo alerta e afirmou que não há evidências de que a falha tenha sido usada por terceiros.
A empresa também recompensou brutecat com US$ 5 mil por meio de seu programa de recompensas por bugs.
✨ Curtiu este conteúdo?
O GDiscovery está aqui todos os dias trazendo informações confiáveis e independentes sobre o universo Google - e isso só é possível com o apoio de pessoas como você. 🙌
Com apenas R$ 5 por mês, você ajuda a manter este trabalho no ar e leva informação de qualidade para ainda mais gente!
