Egy komoly adatvédelmi problémára bukkant egy brutecat nevű biztonsági kutató a Google rendszerében - számolt be róla a TechCrunch. A hiba kihasználásával bárki megszerezhetett egy Google-fiókhoz társított telefonszámot anélkül, hogy erről az érintett tudomást szerzett volna. Ez komoly biztonsági és adatvédelmi kockázatot jelentett, hiszen a telefonszám sok esetben kulcsfontosságú azonosító a digitális térben.
A kutató áprilisban értesítette a Google-t a sebezhetőségről, amelyet a cég ezután gyorsan kijavított. A támadás egy összetett, több lépésből álló folyamatot követett: brutecat különféle, párhuzamosan futó folyamatokat kombinált, így ki tudta kerülni a Google által bevezetett jelszó-visszaállítási védelmet is. A végső lépésként a telefonszám számjegyeit próbálgatta addig, amíg meg nem találta a helyes kombinációt.
A hvg.hu információi szerint a telefonszámok megszerzése átlagosan 20 percet vett igénybe, attól függően, hány számjegyből álltak. A lap újságírói saját tesztet is végeztek: létrehoztak egy új Google-fiókot egy eddig nem használt telefonszámmal, és rövid időn belül a kutató meg is találta a hozzá tartozó adatokat - ezzel igazolva a sebezhetőség valódiságát.
A biztonsági rés kihasználásával a támadók akár átveréseket is elkövethettek volna: hozzáférhettek fiókokhoz, vagy pénzt csalhattak ki a gyanútlan áldozatoktól. A Google végül lezárta a sebezhetőséget, és 5000 dolláros (mintegy 1,7 millió forintos) jutalmat fizetett a kutatónak a felfedezésért.
