Google corrige bug que podía revelar los números de teléfono privados

Iniciado por AXCESS, Junio 09, 2025, 11:43:38 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 09, 2025, 11:43:38 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un investigador de seguridad descubrió un error que podría explotarse para revelar el número de teléfono de recuperación privado de casi cualquier cuenta de Google sin alertar a su propietario, lo que podría exponer a los usuarios a riesgos de privacidad y seguridad.

Google confirmó a TechCrunch que corrigió el error después de que el investigador alertara a la compañía en abril.

El investigador independiente, conocido como brutecat y quien publicó sus hallazgos en un blog, declaró a TechCrunch que podían obtener el número de teléfono de recuperación de una cuenta de Google explotando un error en la función de recuperación de cuentas de la compañía:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El exploit se basaba en una "cadena de ataque" de varios procesos individuales que trabajaban en conjunto, incluyendo la filtración del nombre completo para mostrar de una cuenta objetivo y la elusión de un mecanismo de protección antibots que Google implementó para evitar el envío de spam malicioso de solicitudes de restablecimiento de contraseña. Superar el límite de velocidad permitió al investigador recorrer todas las posibles permutaciones del número de teléfono de una cuenta de Google en poco tiempo y obtener los dígitos correctos.

Al automatizar la cadena de ataque con un script, el investigador afirmó que era posible acceder por fuerza bruta al número de teléfono de recuperación del titular de una cuenta de Google en 20 minutos o menos, dependiendo de la longitud del número.

Para probarlo, TechCrunch creó una nueva cuenta de Google con un número de teléfono inédito y proporcionó a brutecat la dirección de correo electrónico de nuestra nueva cuenta.

Poco después, brutecat respondió con el número de teléfono que habíamos configurado.

"¡Bingo! :)", dijo el investigador.

Revelar el número de teléfono de recuperación privado puede exponer incluso las cuentas de Google anónimas a ataques dirigidos, como intentos de robo de identidad. Identificar un número de teléfono privado asociado a la cuenta de Google de alguien podría facilitar que hackers expertos tomaran el control de ese número mediante un ataque de intercambio de SIM, por ejemplo. Con el control de ese número, el atacante puede restablecer la contraseña de cualquier cuenta asociada generando códigos de restablecimiento de contraseña que se envían a ese teléfono.

Dado el riesgo potencial para el público en general, TechCrunch acordó reservar esta noticia hasta que se pudiera solucionar el error.

"Este problema ya se ha solucionado. Siempre hemos enfatizado la importancia de colaborar con la comunidad de investigadores de seguridad a través de nuestro programa de recompensas por vulnerabilidades y queremos agradecer al investigador por informar sobre este problema", declaró a TechCrunch la portavoz de Google, Kimberly Samra. "Este tipo de informes de investigadores son una de las muchas maneras en que podemos encontrar y solucionar rápidamente problemas para la seguridad de nuestros usuarios".

Samra afirmó que la compañía no ha encontrado "ningún vínculo directo confirmado con exploits hasta el momento".

Brutecat afirmó que Google pagó 5000 dólares en concepto de recompensa por errores por su hallazgo

Fuente:

brutecat Blog
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario