Akkora hiba volt a rendszerben, hogy bármelyik Gmail- vagy YouTube-felhasználó telefonszámát el lehetett lopni
Ötezer dollárt, vagyis mintegy 1,7 millió forintot kapott a Google-től az a független kiberbiztonsági szakember, aki rájött arra, hogyan lehet szinte bármelyik Google-felhasználó telefonszámát ellopni.
HVG
Veszélyes hibára bukkant egy független kiberbiztonsági szakember a Google rendszerében. A brutecat felhasználónéven ismert kiberbiztonsági kutató által feltárt hibát kihasználva a hackerek szinte bármely Google-fiók privát helyreállítási telefonszámát megszerezhették anélkül, hogy erről a felhasználó értesítést kapott volna.
A TechCrunch írja, hogy a Google már javította a hibát, miután a kutató áprilisban felhívta arra a vállalat figyelmét.
A szakember szerint sebezhetőséget több, egymással párhuzamosan működő, egyedi folyamatból álló „támadási lánc” segítségével lehetett kihasználni. Ezek közé tartozik például annak a védelmi mechanizmusnak a megkerülése, amit a Google a jelszó-visszaállítási kérelem kihasználása ellen vezetett be. Végső lépésként a szakember végigpörgette az egyes telefonszámok számjegyeit, hogy megkapja a helyes kombinációt.
A kutató szerint az automatizált folyamatnak köszönhetően legfeljebb 20 percet vett igénybe egy telefonszám megszerzése, attól függően, hogy milyen hosszú számsorból állt a telefonszám.
Kirúgásról szóló e-mailekkel próbálkoznak a támadók, de valójában „csak” egy adathalász levélről van szó.
A lap le is tesztelte a kiberbiztonsági kutatót: létrehozott egy Google-fiókot egy olyan telefonszámmal, amit előtte még soha senki nem használt, nem sokkal később pedig a szakértő visszaküldte a lapnak a számot. Vagyis az eljárása működött.
A biztonsági rés segítségével megszerzett telefonszámokat a rosszindulatú felek egy nagyobb átveréshez is használhatják: például átvehetik a fiók felett az irányítást, vagy pénzt csalhatnak ki az áldozatból.
A Google végül befoltozta a rést, a szakember pedig 5000 dollárt – kb. 1,7 millió forint – kapott a hiba feltárásáért.
Nem az Amazon-alapító Jeff Bezos múlt heti esküvője volt az első celebesemény Velencében, de még egyik sem váltott ki ekkora tiltakozást. A közel 50 millió dolláros nászünnep a mérhetetlen pazarláson túl a társadalmi érzéketlenség jelképévé is vált.