Cómo un fallo técnico en Google hacía posible conocer el número de móvil de cualquier usuario

[Noticias]

Cómo un fallo técnico en Google hacía posible conocer el número de móvil de cualquier usuario

Recientemente se ha descubierto una vulnerabilidad en las cuentas de Google que permitía a usuarios con ciertos conocimientos técnicos obtener el número de teléfono asociado a cualquier perfil. Este fallo representaba un riesgo considerable para la privacidad de los usuarios. Para explotar esta debilidad, solo se requería el nombre del perfil y dos dígitos del número de teléfono, información que Google suele mostrar al intentar recuperar una contraseña. El investigador BruteCat fue quien detectó y notificó este problema a Google, que ya ha implementado una solución. Aunque no hay evidencias de que la vulnerabilidad haya sido explotada de forma maliciosa, la filtración de números de teléfono puede incrementar la exposición de los usuarios a ataques de 'vishing' o 'SIM swapping', según explican expertos en ciberseguridad. BruteCat detalló que el descubrimiento se produjo al deshabilitar JavaScript en el navegador, revelando que el formulario de recuperación de cuenta de Google seguía operativo. Además, utilizó la herramienta 'Looker Studio', propiedad de Google, para obtener el nombre de la víctima. Una vez con el nombre y los dos dígitos iniciales del número, el investigador empleó una técnica de fuerza bruta, eludiendo las protecciones de Google como CAPTCHAs y límites de peticiones, para descubrir el número completo. Realizó hasta 40.000 peticiones por segundo, logrando desvelar un número en un máximo de 20 minutos, variando el tiempo según el país. Google recompensó al investigador con 5.000 dólares por su contribución, y la compañía ha confirmado que la vulnerabilidad quedó resuelta el pasado 6 de junio.

fuente