Взломать за 15 секунд, зная лишь имя и кусочек номера. Спасибо, Google
NewsMakerЗапросы шли с миллионов IPv6-адресов, а защита почему-то не срабатывала.
Уязвимость в устаревшей форме восстановления имени пользователя Google позволяла подобрать полный номер телефона, привязанный к аккаунту, зная лишь отображаемое имя и часть номера. Такая лазейка серьёзно повышала риск таргетированных атак — от фишинга до перехвата SIM-карт .
Уязвимость обнаружил исследователь под псевдонимом BruteCat, ранее прославившийся тем, что сумел вскрыть закрытые e-mail-адреса владельцев YouTube-аккаунтов. В этот раз он нашёл способ обойти ограничения формы восстановления имени пользователя Google, предназначенной для браузеров без поддержки JavaScript . В отличие от актуальной версии, старая форма не содержала современных механизмов защиты от автоматических действий и оставалась доступной для запросов.
BruteCat заметил, что форма позволяет узнать, связан ли указанный номер телефона с определённым аккаунтом Google, если известны имя профиля и часть номера. Он начал отправлять POST-запросы, подставляя разные комбинации, и добился успешного обхода элементарного ограничения по числу попыток. Для этого он использовал масштабируемую ротацию IPv6-адресов — за счёт /64-субсетей можно было генерировать практически бесконечное количество уникальных IP, не вызывая срабатывание блокировок.
Кроме того, исследователь нашёл способ обхода CAPTCHA-защиты, присваивая параметру «bgresponse=js_disabled» действительный токен BotGuard, полученный из JavaScript-версии той же формы. Этот токен он извлекал автоматически при помощи headless-браузера Chrome, написав отдельный скрипт для генерации.
На базе этих техник был создан инструмент под названием gpb, который перебирал телефонные номера по шаблонам, характерным для разных стран, используя библиотеку Google libphonenumber и заранее собранную базу масок. При скорости перебора 40 000 запросов в секунду, на подбор полного номера в США уходило около 20 минут, в Великобритании — 4 минуты, а в Нидерландах — менее 15 секунд.
Чтобы начать атаку, необходимо было знать e-mail жертвы, но и эту преграду BruteCat обошёл. Он создавал документ в Looker Studio и передавал право владения аккаунту жертвы. После этого имя пользователя отображалось у создателя документа, даже без каких-либо действий со стороны цели.
Оставалось только уточнить номер, и здесь в ход шли уже другие сервисы. Например, при попытке сброса пароля на PayPal можно увидеть больше цифр телефонного номера, чем показывает Google — этого хватало для сужения круга возможных значений. Так BruteCat собирал полные номера, связанные с аккаунтами, и, по его словам, в подавляющем большинстве случаев это были основные телефоны владельцев.
Полученные данные давали хакерам возможность устраивать точечные атаки — от социальной инженерии до захвата телефонного номера через операторов. Особенно опасным такой подход становился в комбинации с ранее раскрытыми e-mail и другими утечками.
Исследователь сообщил об уязвимости в Google 14 апреля 2025 года. Изначально компания оценила риск как низкий, но спустя месяц, 22 мая, повысила уровень угрозы до среднего и внедрила временные меры защиты. За своё исследование BruteCat получил вознаграждение в размере $5 000.
6 июня Google полностью отключила уязвимую форму, сделав дальнейшую эксплуатацию бреши невозможной. Однако остаётся неизвестным, применялась ли эта техника кем-либо до официального закрытия уязвимости.
Уязвимость в устаревшей форме восстановления имени пользователя Google позволяла подобрать полный номер телефона, привязанный к аккаунту, зная лишь отображаемое имя и часть номера. Такая лазейка серьёзно повышала риск таргетированных атак — от фишинга до перехвата SIM-карт .
Уязвимость обнаружил исследователь под псевдонимом BruteCat, ранее прославившийся тем, что сумел вскрыть закрытые e-mail-адреса владельцев YouTube-аккаунтов. В этот раз он нашёл способ обойти ограничения формы восстановления имени пользователя Google, предназначенной для браузеров без поддержки JavaScript . В отличие от актуальной версии, старая форма не содержала современных механизмов защиты от автоматических действий и оставалась доступной для запросов.
BruteCat заметил, что форма позволяет узнать, связан ли указанный номер телефона с определённым аккаунтом Google, если известны имя профиля и часть номера. Он начал отправлять POST-запросы, подставляя разные комбинации, и добился успешного обхода элементарного ограничения по числу попыток. Для этого он использовал масштабируемую ротацию IPv6-адресов — за счёт /64-субсетей можно было генерировать практически бесконечное количество уникальных IP, не вызывая срабатывание блокировок.
Кроме того, исследователь нашёл способ обхода CAPTCHA-защиты, присваивая параметру «bgresponse=js_disabled» действительный токен BotGuard, полученный из JavaScript-версии той же формы. Этот токен он извлекал автоматически при помощи headless-браузера Chrome, написав отдельный скрипт для генерации.
На базе этих техник был создан инструмент под названием gpb, который перебирал телефонные номера по шаблонам, характерным для разных стран, используя библиотеку Google libphonenumber и заранее собранную базу масок. При скорости перебора 40 000 запросов в секунду, на подбор полного номера в США уходило около 20 минут, в Великобритании — 4 минуты, а в Нидерландах — менее 15 секунд.
Чтобы начать атаку, необходимо было знать e-mail жертвы, но и эту преграду BruteCat обошёл. Он создавал документ в Looker Studio и передавал право владения аккаунту жертвы. После этого имя пользователя отображалось у создателя документа, даже без каких-либо действий со стороны цели.
Оставалось только уточнить номер, и здесь в ход шли уже другие сервисы. Например, при попытке сброса пароля на PayPal можно увидеть больше цифр телефонного номера, чем показывает Google — этого хватало для сужения круга возможных значений. Так BruteCat собирал полные номера, связанные с аккаунтами, и, по его словам, в подавляющем большинстве случаев это были основные телефоны владельцев.
Полученные данные давали хакерам возможность устраивать точечные атаки — от социальной инженерии до захвата телефонного номера через операторов. Особенно опасным такой подход становился в комбинации с ранее раскрытыми e-mail и другими утечками.
Исследователь сообщил об уязвимости в Google 14 апреля 2025 года. Изначально компания оценила риск как низкий, но спустя месяц, 22 мая, повысила уровень угрозы до среднего и внедрила временные меры защиты. За своё исследование BruteCat получил вознаграждение в размере $5 000.
6 июня Google полностью отключила уязвимую форму, сделав дальнейшую эксплуатацию бреши невозможной. Однако остаётся неизвестным, применялась ли эта техника кем-либо до официального закрытия уязвимости.