Egy független kiberbiztonsági szakértő óriási hibára bukkant a Google rendszerében, amelyet felhasználva bármelyik fiókhoz tartozó telefonszámot mintegy 20 perc alatt ellophattak hekkerek.
Hogy mennyire súlyos a hiba, amelyre a brutecat felhasználónéven ismert kiberbiztonsági kutató bukkant, jól mutatja, hogy a Google a sérülékenység jelentéséért 5000 dollárral (mintegy 1,7 millió forinttal) jutalmazta – derül ki a hvg.hu cikkéből.
Tesztelték is a telefonszám ellopását
A hibát kihasználó támadás egyik fontos eleme a Google-nak a jelszó-visszaállítási kérelemmel kapcsolatos védelmének kijátszása: a „támadási lánc” utolsó lépése során a telefonszámok egyes számjegyeinek végigpörgetésével lehetett megszerezni az adott Google-fiókhoz tartozó helyreállítási telefonszámot anélkül, hogy erről a felhasználó értesítést kapott volna.
Mivel a folyamat nagyrészt automatikus, egy telefonszám megszerzéséhez mindössze 20 percre volt szükség.
A hibát a TechCrunch le is tesztelte: létrehoztak egy Google-fiókot olyan helyreállítási telefonszámmal, amelyet előtte még soha senki nem használt, a kiberbiztonsági kutató pedig rövidesen visszaküldte a lapnak a megfelelő számjegyeket.
A sérülékenység azért is rendkívül súlyos mert a bűnözők az így megszerzett telefonszámokkal további átveréseket indíthatnak: átvehetik a felhasználó fiókja felett az irányítást, vagy pénzt csalhatnak ki az áldozatból. A hibát áprilisban találta meg a kutató, szerencsére a Google azóta már befoltozta a rést.
