Google telah melangkah untuk mengatasi cacat keamanan yang mungkin memungkinkan untuk memaksa nomor telepon pemulihan akun, berpotensi mengekspos mereka pada risiko privasi dan keamanan.
Masalahnya, menurut peneliti keamanan Singapura “Brutecat,” memanfaatkan masalah dalam fitur pemulihan akun perusahaan.
Yang mengatakan, mengeksploitasi kerentanan bergantung pada beberapa bagian yang bergerak, secara khusus menargetkan versi javascript-disabled dari formulir pemulihan nama pengguna Google (“Accounts.google[.]com/Signin/usernamerecovery “) yang tidak memiliki perlindungan anti-pelecehan yang dirancang untuk mencegah permintaan spam.
Halaman yang dimaksud dirancang untuk membantu pengguna memeriksa apakah email pemulihan atau nomor telepon dikaitkan dengan nama tampilan tertentu (misalnya, “John Smith”).
Tetapi menghindari batas tarif berbasis captcha pada akhirnya memungkinkan untuk mencoba semua permutasi nomor telepon akun Google dalam waktu singkat dan sampai pada angka yang benar dalam hitungan detik atau menit, tergantung pada panjang nomor telepon (yang bervariasi dari satu negara ke negara).
Seorang penyerang juga dapat memanfaatkan aliran kata sandi yang lupa Google untuk mengetahui kode negara yang terkait dengan nomor telepon korban, serta mendapatkan nama tampilan mereka dengan membuat dokumen studio yang terlihat dan mentransfer kepemilikan kepada korban, secara efektif menyebabkan nama lengkap mereka bocor di halaman rumah.
Secara keseluruhan, eksploitasi membutuhkan melakukan langkah -langkah berikut –
- Bocor nama tampilan akun Google melalui studio looker
- Jalankan aliran kata sandi yang lupa untuk alamat email target untuk mendapatkan nomor telepon bertopeng dengan 2 digit terakhir yang ditampilkan kepada penyerang (mis. •• •••••• 03)
- Brute-Force Nomor telepon terhadap Username Recovery Endpoint untuk memaksa nomor telepon
Brutecat mengatakan angka yang berbasis di Singapura dapat bocor menggunakan teknik yang disebutkan di atas dalam rentang 5 detik, sementara angka AS dapat terbuka kedok dalam waktu sekitar 20 menit.
https://www.youtube.com/watch?v=am3iplyz4sw
Berbekal pengetahuan nomor telepon yang terkait dengan akun Google, aktor yang buruk dapat mengendalikannya melalui serangan bertukar sim dan akhirnya mengatur ulang kata sandi dari setiap akun yang terkait dengan nomor telepon itu.
Mengikuti pengungkapan yang bertanggung jawab pada 14 April 2025, Google memberi peneliti hadiah bug $ 5.000 dan menghubungkan kerentanan dengan sepenuhnya menyingkirkan formulir pemulihan nama pengguna non-Javascript pada 6 Juni 2025.
Temuan ini datang beberapa bulan setelah peneliti yang sama merinci eksploitasi $ 10.000 lainnya bahwa penyerang dapat mempersenjatai untuk mengekspos alamat email dari setiap pemilik saluran YouTube dengan merantai cacat di API YouTube dan API Web yang sudah ketinggalan zaman yang terkait dengan perekam piksel.
Kemudian pada bulan Maret, Brutecat juga mengungkapkan bahwa dimungkinkan untuk mengumpulkan alamat email milik pembuat yang merupakan bagian dari Program Mitra YouTube (YPP) dengan memanfaatkan masalah kontrol akses di titik akhir “/get_creator_channels”, menghasilkan hadiah $ 20.000.
“[An] Masalah Kontrol Akses di /get_creator_channels bocor saluran konten ContentOwnAssociation, yang mengarah ke saluran pengungkapan alamat email melalui API ID konten, “kata Google.
Seorang penyerang dengan akses ke akun Google yang memiliki saluran yang bergabung dengan program Mitra YouTube (lebih dari 3 juta saluran) dapat memperoleh alamat email serta detail monetisasi dari saluran lain dalam program mitra YouTube. Penyerang dapat menggunakan ini untuk menghilangkan anonim YouTuber (karena ada harapan pseudo-anonimitas di YouTube), atau Phish mereka. “
