Google ha intervenido para abordar un defecto de seguridad que podría haber hecho posible que el número de teléfono de recuperación de una cuenta bruta, potencialmente exponiéndolos a riesgos de privacidad y seguridad.
El problema, según el investigador de seguridad de Singapur, «BruteCat», aprovecha un problema en la función de recuperación de cuentas de la compañía.
Dicho esto, explotando la vulnerabilidad depende de varias partes móviles, específicamente dirigida a una versión ahora privada de JavaScript del Formulario de recuperación de nombre de usuario de Google («Cuentas.google (.) COM/Signin/Usernamerecovery») que carecía de protecciones anti-abusas diseñadas para prevenir las solicitudes de spammy.
La página en cuestión está diseñada para ayudar a los usuarios a verificar si un correo electrónico de recuperación o número de teléfono está asociado con un nombre de pantalla específico (por ejemplo, «John Smith»).
Pero eludir el límite de tarifa basado en Captcha finalmente hizo posible probar todas las permutaciones del número de teléfono de una cuenta de Google en un corto espacio de tiempo y llegar a los dígitos correctos en segundos o minutos, dependiendo de la longitud del número de teléfono (que varía de un país a otro).
Un atacante también podría aprovechar el flujo de contraseña olvidada de Google para descubrir el código de país asociado con el número de teléfono de una víctima, así como obtener su nombre de visualización creando un documento de estudio más llamativo y transferir la propiedad a la víctima, lo que hace que su nombre completo se filtre en la página de inicio.
En total, el exploit requiere realizar los siguientes pasos –
- Llegar el nombre de la pantalla de la cuenta de Google a través de Looker Studio
- Ejecute el flujo de contraseña olvidada para una dirección de correo electrónico de destino para obtener el número de teléfono enmascarado con los últimos 2 dígitos que se muestran al atacante (por ejemplo, •• ••••• 03)
- Force bruto el número de teléfono contra el punto final de recuperación de nombre de usuario para la fuerza bruta el número de teléfono
Brutecat dijo que un número con sede en Singapur podría filtrarse utilizando la técnica antes mencionada en un lapso de 5 segundos, mientras que un número de EE. UU. Podría desenmascararse en aproximadamente 20 minutos.
https://www.youtube.com/watch?v=AM3IPLYZ4SW
Armado con el conocimiento de un número de teléfono asociado con una cuenta de Google, un mal actor podría tomar el control de él a través de un ataque de intercambio de SIM y finalmente restablecer la contraseña de cualquier cuenta asociada con ese número de teléfono.
Después de la divulgación responsable el 14 de abril de 2025, Google otorgó al investigador una recompensa de errores de $ 5,000 y conectó la vulnerabilidad al deshacerse por completo del formulario de recuperación de nombre de usuario no JavaScript al 6 de junio de 2025.
Los hallazgos se producen meses después de que el mismo investigador detallara otro exploit de $ 10,000 que un atacante podría haber armado para exponer la dirección de correo electrónico de cualquier propietario del canal de YouTube encadenando una falla en la API de YouTube y una API web obsoleta asociada con Pixel Recorder.
Luego, en marzo, BruteCat también reveló que es posible obtener direcciones de correo electrónico que pertenecen a los creadores que forman parte del Programa de Partners de YouTube (YPP) al aprovechar un problema de control de acceso en el punto final «/get_creator_channels», lo que les valió una recompensa de $ 20,000.
«(AN) Problema de control de acceso en /get_creator_channels filtros el canal ContentOwnerAssociation, que conduce a la divulgación de la dirección de correo electrónico del canal a través de la API de ID de contenido», dijo Google.
«Un atacante con acceso a una cuenta de Google que tenía un canal que se unió al programa de socios de YouTube (más de 3 millones de canales) puede obtener la dirección de correo electrónico, así como los detalles de monetización de cualquier otro canal en el programa de socios de YouTube. El atacante puede usar esto para desanonimizar a un YouTuber (como hay una expectativa de pseudoanonimato en YouTube) o phish». «.». «.». «.». «.». «.». «.». «.
