Akkora hiba volt a rendszerben, hogy bármelyik Gmail- vagy YouTube-felhasználó telefonszámát el lehetett lopni

Veszélyes hibára bukkant egy független kiberbiztonsági szakember a Google rendszerében. A brutecat felhasználónéven ismert kiberbiztonsági kutató által feltárt hibát kihasználva a hackerek szinte bármely Google-fiók privát helyreállítási telefonszámát megszerezhették anélkül, hogy erről a felhasználó értesítést kapott volna.

A TechCrunch írja, hogy a Google már javította a hibát, miután a kutató áprilisban felhívta arra a vállalat figyelmét.

A szakember szerint sebezhetőséget több, egymással párhuzamosan működő, egyedi folyamatból álló „támadási lánc” segítségével lehetett kihasználni. Ezek közé tartozik például annak a védelmi mechanizmusnak a megkerülése, amit a Google a jelszó-visszaállítási kérelem kihasználása ellen vezetett be. Végső lépésként a szakember végigpörgette az egyes telefonszámok számjegyeit, hogy megkapja a helyes kombinációt.

A kutató szerint az automatizált folyamatnak köszönhetően legfeljebb 20 percet vett igénybe egy telefonszám megszerzése, attól függően, hogy milyen hosszú számsorból állt a telefonszám.

A lap le is tesztelte a kiberbiztonsági kutatót: létrehozott egy Google-fiókot egy olyan telefonszámmal, amit előtte még soha senki nem használt, nem sokkal később pedig a szakértő visszaküldte a lapnak a számot. Vagyis az eljárása működött.

A biztonsági rés segítségével megszerzett telefonszámokat a rosszindulatú felek egy nagyobb átveréshez is használhatják: például átvehetik a fiók felett az irányítást, vagy pénzt csalhatnak ki az áldozatból.

A Google végül befoltozta a rést, a szakember pedig 5000 dollárt – kb. 1,7 millió forint – kapott a hiba feltárásáért.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.