Google исправил уязвимость, раскрывающую номера телефонов
Google устранил уязвимость, позволявшую злоумышленникам получать доступ к номерам телефонов пользователей. Ошибка была обнаружена в апреле 2025 года исследователем безопасности под псевдонимом brutecat в системе восстановления аккаунтов Google.
Используя автоматизированный скрипт, исследователь смог обойти защиту от ботов и ограничения на количество запросов. Это позволяло за 20 минут выяснить номер телефона, привязанный к любому аккаунту Google, без ведома владельца.
Технологический портал TechCrunch проверил метод: предоставил brutecat тестовый аккаунт с ранее не использованным номером, который был успешно идентифицирован.
Потенциальные риски
Утечка номера телефона создавала серьезную угрозу, упрощая:
- Целевые атаки на пользователей
- Взлом аккаунтов через SIM-своппинг (перехват номера для сброса паролей)
Представитель Google Кимберли Сэмра подтвердила устранение проблемы, поблагодарив исследователя за сообщение об уязвимости. Компания выплатила ему вознаграждение в размере $5000 в рамках программы поощрения за обнаружение уязвимостей.
По данным Google, на момент исправления не было зафиксировано случаев эксплуатации данной уязвимости злоумышленниками.
