Номера телефонов юзеров Google забрутфорсили

Исследователь забрутфорсил номера телефонов юзеров Google. Сделать это удалось через форму восстановления аккаунта. Отключённый JS, подтянутый botguard-токен, и форму можно было брутфорсить до получения отклика по существующей связке «Имя пользователя — телефон».

Помимо этого, в процессе исследователь обнаружил оригинальный метод утечки не только номера, но и имени пользователя для брутфорса по нему. Из незакрытых Google утечек остались документы Looker Studio, при переводе владения которыми на аккаунт отображалось его имя. По итогам в связке с ним и скрытым номером с двумя известными цифрами из формы восстановления скрипт возвращал номер, к которому привязана почта, за секунды, максимум, 20 минут.

Уязвимость закрыли, багхантер добился пересмотра серьёзности уязвимости и выбил бонусные 3,5к баксов к изначальным 13 соткам, всё ответственно раскрыто, счастливый конец. Подробнее о брутфорсе в отчёте, проверка концепции здесь.