Expert na bezpečnost totiž odhalil, že v účtech Google byla kritická chyba, jíž mohli zneužít hackeři. Dostali by se kvůli ní k soukromým telefonním číslům a mohli by je využít k útokům na uživatele nebo zcizení identity.
Na závažnou chybu výzkumník s přezdívkou Brutecat upozornil v dubnu tohoto roku. Google ji ale opravil až v květnu. Po celou tu dobu byla telefonní čísla uživatelů vydána na pospas útočníkům. A nešlo o žádný detail. V dnešní době je velmi snadné nechat si dané telefonní číslo vložit na SIM kartu a tu pak použít jak k zakládání falešných účtů, tak třeba i k phishingovým útokům. Uživatelé přitom o riziku neměli nejmenší tušení.
Bezpečnostní expert přesně vysvětlil, jak by takový útok probíhal. Jeho základem bylo, že formulář pro obnovení uživatelského jména u Google účtů nevyžadoval JavaScript, čímž přišel o obvyklou ochranu. Jeho prostřednictvím se Brutecat pokusil zjistit, komu patří určitá e-mailová adresa, načež se dostal k části telefonního čísla uživatele. S pomocí správných nástrojů zabralo zjištění čísla pouhých pár minut a někdy i jen několik vteřin.
Dále se ukázalo, že služba Looker Studio, která dřív fungovala pod názvem Google Data Studio, se nechá snadno obalamutit a útočníkovi záhy ukáže celé jméno vlastníka účtu na Googlu. V tu chvíli má potenciální útočník v ruce vše, co potřebuje. A proto Brutecat 14. dubna upozornil Google, že na základě jím vytvořeného scriptu je získávání těchto informací velmi snadné a rychlé.
V květnu Google vše opravil a uvedl: „Tento problém byl opraven. Vždy jsme kladli důraz na spolupráci s komunitou bezpečnostních výzkumníků prostřednictvím našeho programu odměn a děkujeme výzkumníkovi, že na problém upozornil.“ Lze jen doufat, že někdo v mezičase na chybu nepřišel a čísla uživatelů nezískal.
