Google corrige un error que podría revelar los números de teléfono privados de los usuarios

Un investigador de seguridad ha descubierto un error que podría explotarse para revelar el número de teléfono de recuperación privado de casi cualquier cuenta de Google sin alertar a su propietario, lo que podría exponer a los usuarios a riesgos de privacidad y seguridad.

Google confirmó a TechCrunch que solucionó el error después de que el investigador alertara a la compañía en abril.

El investigador independiente, que utiliza el nombre de usuario brutecat y publicó sus hallazgos en un blog , le dijo a TechCrunch que podían obtener el número de teléfono de recuperación de una cuenta de Google explotando un error en la función de recuperación de cuentas de la compañía.

El exploit se basaba en una cadena de ataque de varios procesos individuales que trabajaban en conjunto, incluyendo la filtración del nombre completo de la cuenta objetivo y la elusión de un mecanismo de protección antibots implementado por Google para evitar el envío de spam malicioso de solicitudes de restablecimiento de contraseña. Superar el límite de velocidad permitió al investigador analizar todas las posibles permutaciones del número de teléfono de una cuenta de Google en poco tiempo y obtener los dígitos correctos.

Al automatizar la cadena de ataque con un script, el investigador dijo que era posible forzar el número de teléfono de recuperación del propietario de una cuenta de Google en 20 minutos o menos, dependiendo de la longitud del número de teléfono.

Para probar esto, TechCrunch creó una nueva cuenta de Google con un número de teléfono que nunca se había usado antes y luego le proporcionó a brutecat la dirección de correo electrónico de nuestra nueva cuenta de Google.

Poco tiempo después, brutecat respondió con el número de teléfono que habíamos configurado.

“bingo :)”, dijo el investigador.

Revelar el número de teléfono privado de recuperación puede exponer incluso cuentas de Google anónimas a ataques dirigidos, como intentos de robo de identidad. Identificar un número de teléfono privado asociado a la cuenta de Google de alguien podría facilitar que hackers expertos se apropien de ese número mediante un ataque de intercambio de SIM , por ejemplo. Con el control de ese número, el atacante puede restablecer la contraseña de cualquier cuenta asociada generando códigos de restablecimiento de contraseña que se envían a ese teléfono.

Dado el riesgo potencial para el público en general, TechCrunch acordó retener esta historia hasta que se pudiera solucionar el error.

“Este problema se ha solucionado. Siempre hemos insistido en la importancia de colaborar con la comunidad de investigadores de seguridad a través de nuestro programa de recompensas por vulnerabilidades y queremos agradecer al investigador por informar sobre este problema”, declaró a TechCrunch la portavoz de Google, Kimberly Samra. “Comunicados como este por investigadores son una de las muchas maneras en que podemos encontrar y solucionar rápidamente problemas para la seguridad de nuestros usuarios”.

Samra afirmó que la compañía no ha visto "ningún vínculo directo confirmado con exploits en este momento".

Brutecat dijo que Google pagó $5,000 como recompensa por su hallazgo.