Эта уязвимость позволяла узнать номер любого юзера Google за 20 минут

По данным TechCrunch, исследователь в области кибербезопасности с ником brutecat обнаружил баг в системе восстановления аккаунта Google. С его помощью можно было узнать приватный резервный номер телефона учетной записи пользователя. Сделать это можно было без ведома владельца номера. 

Уязвимость позволяла обойти автоматизированные запросы и механизмы защиты, установленные Google. Затем нужно было перебрать возможные комбинации телефонных номеров: на все эти манипуляции требовалось около 20 минут. Чтобы проверить заявления brutecat, журналисты TechCrunch создали новый аккаунт Google с ранее не использованным телефонным номером и передали специалисту только адрес электронной почты. Вскоре brutecat прислал верный телефонный номер.

Напомним, что, получив контроль над номером телефона, привязанным к аккаунту Google, злоумышленники могут сбросить пароль любой учетной записи, воспользовавшись генерацией кодов сброса пароля, отправленных на этот номер.

В Google заявили, что проблема была устранена. А brutecat сообщил, что за обнаружение этой уязвимости Google заплатила ему 5000 долларов. 

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро