Một nhà nghiên cứu bảo mật tiết lộ rằng một thành phần bảo mật kém của hệ thống Google đã cho phép đoán số điện thoại di động của tất cả các tài khoản. Tuy nhiên, tin tặc đạo đức đã báo cáo vi phạm trước, như một phần của chương trình tiền thưởng lỗi của công ty.
Lỗ hổng này khá dễ khai thác theo người phát hiện ra, một "Brutecat" nào đó. Thật vậy, trang khôi phục tài khoản Google – vốn bị khóa chặt – tồn tại song song với phiên bản không có JavaScript, rất dễ khai thác. Khi bạn truy cập trang accounts.google.com/signin/usernamerecovery, bạn sẽ thấy một biểu mẫu yêu cầu bạn nhập địa chỉ email.
Sau đó, trang này yêu cầu bạn xác nhận thông tin liên quan, thường là số điện thoại di động. Chỉ hiển thị một vài chữ số của số điện thoại di động ở mức tốt nhất, để giúp người dùng tránh nhập số khác ngoài số đã đăng ký. Và trong phiên bản mà chúng ta thường có quyền truy cập, luôn có một captcha đóng vai trò là rào cản đối với việc kiểm tra theo chương trình đối với tất cả các kết hợp có thể.
Theo nhà nghiên cứu, chỉ mất vài giây để đoán một số có trụ sở tại Singapore. Đối với các số 10 chữ số như số của Mỹ, Pháp và rộng hơn là số của châu Âu, chỉ mất chưa đầy hai mươi phút. Khoảng thời gian này về cơ bản không quá ngăn cản đối với một tin tặc có động cơ.
Biết được số khôi phục sẽ mở đường cho việc hoán đổi SIM, sau đó là đặt lại mật khẩu cho tất cả các dịch vụ được đính kèm. Nói cách khác, một vài dòng mã có thể bỏ qua ngay cả xác thực hai yếu tố được cấu hình tốt nhất. Mountain View muốn tin rằng "ít người dùng" cuối cùng thực sự gặp phải vấn đề này. Tuy nhiên, Google đã ngừng cung cấp biểu mẫu này vào ngày 6 tháng 6 năm 2025.
Phải nói rằng trong thời đại bắt buộc phải sử dụng https và các tiêu chuẩn web với khả năng bảo mật được tăng cường, người ta có thể tự hỏi nó vẫn đang làm gì ở đó. Được báo cáo vào ngày 14 tháng 4 năm 2025, lỗ hổng này đã giúp Brutecat giành được chiếc cúp mới trị giá 5.000 đô la mà anh ta có thể tự hào thêm vào số tiền thưởng khổng lồ của mình trong năm nay: 10.000 đô la vào tháng 1 sau khi báo cáo lỗi trên YouTube, trước khi một báo cáo khác vào tháng 3 giúp anh ta kiếm được 20.000 đô la.
Giữa các dòng chữ, chúng ta hiểu rằng trên hết, một biểu mẫu "di sản" bị lãng quên có thể đủ sức đánh sập một đế chế đám mây, bất chấp reCAPTCHA, BotGuard và các bức tường gạch ảo khác.
Lỗ hổng này khá dễ khai thác theo người phát hiện ra, một "Brutecat" nào đó. Thật vậy, trang khôi phục tài khoản Google – vốn bị khóa chặt – tồn tại song song với phiên bản không có JavaScript, rất dễ khai thác. Khi bạn truy cập trang accounts.google.com/signin/usernamerecovery, bạn sẽ thấy một biểu mẫu yêu cầu bạn nhập địa chỉ email.
Sau đó, trang này yêu cầu bạn xác nhận thông tin liên quan, thường là số điện thoại di động. Chỉ hiển thị một vài chữ số của số điện thoại di động ở mức tốt nhất, để giúp người dùng tránh nhập số khác ngoài số đã đăng ký. Và trong phiên bản mà chúng ta thường có quyền truy cập, luôn có một captcha đóng vai trò là rào cản đối với việc kiểm tra theo chương trình đối với tất cả các kết hợp có thể.
Google ở đây là nạn nhân của sự lắng đọng của các biến thể ít nhiều an toàn hơn của cùng một giao diện.
Ngoại trừ việc trước khi phát hiện ra Bruteforce, phiên bản sau cũng có thể truy cập được trong phiên bản không có JavaScript, cho phép bỏ qua captcha. Và để kiểm tra tất cả các kết hợp có thể ở tốc độ rất cao. Đủ để làm rò rỉ một số dữ liệu cá nhân khá nhạy cảm. Đặc biệt nếu hoạt động được tự động hóa để kiểm tra một số lượng lớn địa chỉ email.Theo nhà nghiên cứu, chỉ mất vài giây để đoán một số có trụ sở tại Singapore. Đối với các số 10 chữ số như số của Mỹ, Pháp và rộng hơn là số của châu Âu, chỉ mất chưa đầy hai mươi phút. Khoảng thời gian này về cơ bản không quá ngăn cản đối với một tin tặc có động cơ.
Biết được số khôi phục sẽ mở đường cho việc hoán đổi SIM, sau đó là đặt lại mật khẩu cho tất cả các dịch vụ được đính kèm. Nói cách khác, một vài dòng mã có thể bỏ qua ngay cả xác thực hai yếu tố được cấu hình tốt nhất. Mountain View muốn tin rằng "ít người dùng" cuối cùng thực sự gặp phải vấn đề này. Tuy nhiên, Google đã ngừng cung cấp biểu mẫu này vào ngày 6 tháng 6 năm 2025.
Phải nói rằng trong thời đại bắt buộc phải sử dụng https và các tiêu chuẩn web với khả năng bảo mật được tăng cường, người ta có thể tự hỏi nó vẫn đang làm gì ở đó. Được báo cáo vào ngày 14 tháng 4 năm 2025, lỗ hổng này đã giúp Brutecat giành được chiếc cúp mới trị giá 5.000 đô la mà anh ta có thể tự hào thêm vào số tiền thưởng khổng lồ của mình trong năm nay: 10.000 đô la vào tháng 1 sau khi báo cáo lỗi trên YouTube, trước khi một báo cáo khác vào tháng 3 giúp anh ta kiếm được 20.000 đô la.
Giữa các dòng chữ, chúng ta hiểu rằng trên hết, một biểu mẫu "di sản" bị lãng quên có thể đủ sức đánh sập một đế chế đám mây, bất chấp reCAPTCHA, BotGuard và các bức tường gạch ảo khác.
