Súlyos hibára bukkantak a Google rendszerében. A brutecat nevű biztonsági kutató által felfedezett hibát kihasználva szinte bármelyik Google-fiókhoz kapcsolt telefonszámot meg lehetett szerezni anélkül, hogy értesítették volna annak tulajdonosát, ami súlyos adatvédelmi és biztonsági kockázatot jelent – írja a TechCrunch alapján a hvg.hu.
A szakember szerint a sebezhetőséget több egymással párhuzamosan működő, egyedi folyamatból álló támadási lánc segítségével lehetett kihasználni. Ezek közé tartozott például annak a védelmi mechanizmusnak a megkerülése, amit a Google a jelszó-visszaállítási kérelem kihasználása ellen vezetett be. Végső lépésként a szakember végigpörgette az egyes telefonszámok számjegyeit, hogy megkapja a helyes kombinációt.
A kutató szerint így nagyjából 20 percbe telt egy telefonszám megszerzése, attól függően, hogy milyen hosszú volt a számsor. A biztonsági rést kihasználva a támadók átverésekhez is használhatták a megszerzett telefonszámokat: átvehették a fiókok felett az irányítást, vagy pénzt csalhattak ki az áldozatoktól.
A Google végül befoltozta a rést, a szakembernek pedig 5000 dollárt – nagyjából 1,7 millió forintot – fizettek.
