Un chercheur découvre une faille permettant de révéler les numéros de téléphone liés aux comptes Google

09/06/2025 10:00

Technology Google Security Cybersecurity Cryptocurrency
A Researcher Figured Out How to Reveal Any Phone Number Linked to a Google Account

Un chercheur découvre une faille permettant de révéler les numéros de téléphone liés aux comptes Google

Un chercheur en cybersécurité a identifié une méthode pour découvrir le numéro de téléphone associé à n'importe quel compte Google, une information normalement privée et sensible. Cette vulnérabilité, désormais corrigée, représentait un risque important pour la vie privée, permettant même à des pirates peu expérimentés d'accéder à des données personnelles. L'expert en sécurité indépendant, connu sous le pseudonyme brutecat, a qualifié cette faille de "véritable mine d'or pour les SIM swappers".

Les SIM swappers sont des pirates qui détournent les numéros de téléphone de leurs victimes pour intercepter leurs appels et messages. Cette technique leur permet ensuite de pirater divers comptes en ligne. Pour démontrer cette vulnérabilité, brutecat a utilisé une adresse Gmail fournie par 404 Media et a réussi à retrouver le numéro de téléphone associé en seulement six heures.

Le processus, qualifié de "brute forcing", consiste à tester systématiquement différentes combinaisons numériques jusqu'à trouver le bon numéro. Selon brutecat, cette méthode prenait environ une heure pour un numéro américain et seulement huit minutes pour un numéro britannique. Pour d'autres pays, le temps pouvait être inférieur à une minute.

Dans une vidéo explicative, brutecat détaille comment un attaquant pourrait exploiter cette faille. Il suffisait de connaître le nom d'affichage Google de la victime, obtenu en transférant la propriété d'un document via Looker Studio. En modifiant le nom du document avec des millions de caractères, la victime ne recevait aucune notification du transfert.

Google a confirmé avoir corrigé cette vulnérabilité et a remercié le chercheur pour sa découverte. L'entreprise a versé une récompense de 5 000 dollars à brutecat dans le cadre de son programme de récompenses pour les vulnérabilités. Initialement classée comme faible, la gravité de cette faille a finalement été reclassée comme moyenne.

Les numéros de téléphone sont une cible privilégiée pour les SIM swappers, qui les utilisent pour détourner des comptes importants, notamment ceux liés à la cryptomonnaie. Le FBI recommande d'ailleurs de ne jamais divulguer publiquement son numéro de téléphone pour éviter ce type d'attaques.

Nhà nghiên cứu phát hiện cách lộ số điện thoại liên kết với bất kỳ tài khoản Google nào

Một nhà nghiên cứu an ninh mạng đã tìm ra phương pháp để xác định số điện thoại liên kết với bất kỳ tài khoản Google nào - thông tin vốn được bảo mật và nhạy cảm. Lỗ hổng này hiện đã được khắc phục nhưng từng đặt ra nguy cơ nghiêm trọng về quyền riêng tư, khiến cả những tin tặc ít kinh nghiệm cũng có thể truy cập dữ liệu cá nhân. Nhà nghiên cứu bảo mật độc lập có biệt danh brutecat mô tả đây là "mỏ vàng cho những kẻ SIM swapping".

SIM swapping là kỹ thuật mà tin tặc chiếm đoạt số điện thoại nạn nhân để tiếp nhận cuộc gọi và tin nhắn, từ đó xâm nhập vào các tài khoản trực tuyến. Để kiểm chứng, brutecat đã sử dụng một địa chỉ Gmail do 404 Media cung cấp và xác định chính xác số điện thoại liên kết chỉ sau sáu giờ.

Quá trình này, được gọi là "brute forcing", bao gồm việc thử nghiệm liên tục các tổ hợp số khác nhau cho đến khi tìm ra số chính xác. Theo brutecat, phương pháp này mất khoảng một giờ với số điện thoại Mỹ và chỉ tám phút với số Anh. Với các quốc gia khác, thời gian có thể chưa đầy một phút.

Trong video minh họa, brutecat giải thích cách kẻ tấn công khai thác lỗ hổng. Chúng chỉ cần biết tên hiển thị Google của nạn nhân, thu thập được thông qua việc chuyển quyền sở hữu tài liệu trên Looker Studio. Bằng cách đổi tên tài liệu thành hàng triệu ký tự, nạn nhân sẽ không nhận được thông báo về việc chuyển giao.

Google xác nhận đã khắc phục lỗ hổng và cảm ơn nhà nghiên cứu vì phát hiện này. Công ty đã trao thưởng 5.000 USD cùng quà tặng cho brutecat thông qua chương trình tiền thưởng phát hiện lỗ hổng. Ban đầu được đánh giá rủi ro thấp, mức độ nghiêm trọng sau đó đã được nâng lên trung bình.

Số điện thoại là thông tin quan trọng với những kẻ SIM swapping, thường nhắm mục tiêu các tài khoản tiền mã hóa. FBI khuyến cáo người dùng không công khai số điện thoại để tránh trở thành nạn nhân của hình thức tấn công này.

Retour Source originale

Articles connexes

We tested the top portable CarPlay units on the market today
Test exclusif : Les meilleures unités CarPlay...

04/07/2025

Lire plus
Improving randomness may be the key to more powerful quantum computers
Améliorer le hasard : la clé pour des ordinat...

04/07/2025

Lire plus
Trump inaugural impersonators scammed donors out of crypto, feds say
Escroquerie à la cryptomonnaie : des imposteu...

04/07/2025

Lire plus
Mysterious Bitcoin Whale Moves $8 Billion in 'Largest Daily' Transfer of Old BTC in History
Un Mystérieux Baleine Bitcoin Déplace 8 Milli...

04/07/2025

Lire plus
SaaS Is Dead. Long Live Service-As-A-Service
Le SaaS est mort. Vive le Service-en-tant-que...

04/07/2025

Lire plus
A local restaurant has a 5% container charge and 3% kitchen-service fee. Is this as nuts as it sounds?
Un restaurant local impose 5% de frais d'emba...

09/06/2025

Lire plus