A A+ A++

Badacz bezpieczeństwa o pseudonimie brutecat odkrył poważny błąd w systemie odzyskiwania kont Google. Luka pozwalała ustalić prywatny numer telefonu przypisany do konta – i to bez wiedzy jego właściciela. Takie informacje mogły posłużyć do ataków np. przejęcia konta przez tzw. SIM swap, czyli podszycie się pod właściciela numeru u operatora.

Badacz zgłosił problem do Google w kwietniu. Firma potwierdziła, że luka została już naprawiona. Luka została wykorzystana przez wspomnianego badacza, który najpierw zdobywał pełną nazwę właściciela konta, potem ominął zabezpieczenia przeciw botom, aż w końcu był w stanie dostać się do wrażliwych danych. Cały proces był zautomatyzowany i trwał mniej niż 20 minut.

Poważna luka bezpieczeństwa odkryta w systemie Google

Aby potwierdzić skuteczność metody, dziennikarze z serwisu TechCrunch założyli nowe konto Google z nieużywanym wcześniej numerem telefonu. Po podaniu samego adresu e-mail, brutecat błyskawicznie podał poprawny numer, potwierdzając, iż metoda działa.

Badacz bezpieczeństwa o pseudonimie brutecat odkrył poważny błąd w systemie odzyskiwania kont Google. Luka pozwalała ustalić prywatny numer telefonu przypisany do konta – i to bez wiedzy jego właściciela.

Choć atak wymagał pewnej wiedzy, jego skutki mogły być poważne. Znajomość prywatnego numeru przypisanego do konta Google ułatwia jego przejęcie. Z tego powodu redakcja TechCrunch wstrzymała publikację tekstu aż do momentu usunięcia luki.

Google potwierdziło, że problem został rozwiązany, podziękowało badaczowi i przypomniało o swojej współpracy ze społecznością ekspertów w ramach programu nagród za znalezione błędy. Firma nie odnotowała żadnych przypadków wykorzystania tej luki w praktyce. Za zgłoszenie błędu brutecat otrzymał od Google 5 tysięcy dolarów nagrody.





Obserwuj nas w Google News

Oryginalne źródło: ZOBACZ
0komentarze
0
Udostępnij na fb
Udostępnij na twitter
Udostępnij na WhatsApp
Share on Facebook
Post on X
Follow us

Oryginalne źródło ZOBACZ

Subskrybuj
Powiadom o

Dodaj kanał RSS

Musisz być zalogowanym aby zaproponować nowy kanal RSS

Dodaj kanał RSS
0 komentarzy
Informacje zwrotne w treści
Wyświetl wszystkie komentarze
Poprzedni artykułSkalik: Plucie Hołowni na Polaków przysparza nam sympatyków
Następny artykułNadchodzi NVIDIA N1x, czyli układ, który korzysta z architektury ARM. Jednostka przetestowana w benchmarku Geekbench