Google ha intervenido para permitirle bruto el número de teléfono de recuperación de su cuenta y abordar los defectos de seguridad que podrían estar expuestos a los riesgos de privacidad y seguridad.
Este problema aprovecha un problema con las capacidades de recuperación de nuestra cuenta, según el investigador de seguridad de Singapur, BruteCat.
Dicho esto, se dirige al formulario de recuperación de nombre de usuario de Google («cuentas.google (.com/firmin/usernamerecovery») que ha dependido de algunas partes móviles de la vulnerabilidad, particularmente la que carece de protección de rebelión diseñada para evitar solicitudes de spam.
La página en cuestión está diseñada para permitir a los usuarios verificar si un correo electrónico de recuperación o número de teléfono está asociado con un nombre de pantalla específico (por ejemplo, «John Smith»).
Pero pasando por alto la limitación de tarifas basada en Captcha, finalmente fue posible probar todas las permutaciones de los números de teléfono de la cuenta de Google en poco tiempo, dependiendo de la longitud del número de teléfono (dependiendo del país) para alcanzar el número correcto en segundos o minutos.
Además, los atacantes pueden usar el flujo de contraseña olvidada de Google para obtener nombres de visualización conociendo el código de país asociado con el número de teléfono de la víctima, creando documentos de estudio de aspecto, transferir la propiedad a la víctima o filtrar el nombre completo a la página de inicio.
En general, el exploit debe hacer los siguientes pasos –
Leak Google Nombre de la pantalla de la cuenta a través de Looker Studio Ejecute el flujo de contraseña olvidada para la dirección de correo electrónico de destino para enmascarar el número de teléfono con los últimos dos dígitos mostrados por el atacante (por ejemplo, •••• 03)
Brutecat dijo que las cifras con sede en Singapur podrían filtrar las técnicas antes mencionadas en cinco segundos, pero los números de los Estados Unidos podrían enmascararse en unos 20 minutos.
Armado con el conocimiento del número de teléfono asociado con una cuenta de Google, los malos actores pueden controlarlo a través de ataques de intercambio SIM y, en última instancia, restablecer la contraseña para la cuenta asociada con ese número de teléfono.
Tras la divulgación responsable el 14 de abril de 2025, Google otorgó a los investigadores una recompensa de errores de $ 5,000 y conectó la vulnerabilidad al eliminar por completo el formulario de recuperación para nombres de usuario no javascriptores al 6 de junio de 2025.
Los hallazgos se producen meses después de que el mismo investigador pudiera consultar la API de YouTube en busca de fallas y exponer el arma para exponer la dirección de correo electrónico del propietario del canal de YouTube a la API web obsoleta asociada con la grabadora de Pixel, y el mismo investigador detalló otro exploit de $ 10,000.
Luego, en marzo, BruteCat reveló que es posible aprovechar los problemas de control de acceso con el punto final «/get_creator_channels» para recopilar direcciones de correo electrónico que pertenecen a los creadores que forman parte del Programa de Partidos de YouTube (YPP).
«El problema de control de acceso (an) /get_creator_channels filtros el canal ContentOWNAsociation, que conduce a la divulgación de las direcciones de correo electrónico del canal a través de la API de ID de contenido», dijo Google.
«Los atacantes que tienen acceso a cuentas de Google con canales que se han unido al programa de socios de YouTube (más de 3 millones de canales) pueden obtener detalles de la monetización para otros canales en el programa de socios de YouTube. Un atacante puede usar esto para desbloquear YouTubers (ya que YouTube tiene predicciones de pseudoanonimato),
Source link
