گوگل نقص امنیتی را برطرف کرد که می‌توانست امکان حمله بروت‌فورس به شماره تلفن بازیابی حساب‌های کاربری را فراهم کند و آنها را در معرض خطرات امنیتی و حریم خصوصی قرار دهد.

محقق امنیتی سنگاپوری با نام مستعار “brutecat” این مشکل را در ویژگی بازیابی حساب کاربری گوگل کشف کرد. این آسیب‌پذیری از نسخه قدیمی فرم بازیابی نام کاربری گوگل که جاوااسکریپت در آن غیرفعال بود استفاده می‌کرد. این صفحه فاقد محافظت‌های ضد سوءاستفاده برای جلوگیری از درخواست‌های اسپم بود.

صفحه مذکور برای کمک به کاربران طراحی شده بود تا بررسی کنند آیا ایمیل یا شماره تلفن بازیابی با نام نمایشی خاصی (مثل “جان اسمیت”) مرتبط است یا خیر. با دور زدن محدودیت نرخ مبتنی بر کپچا، امکان آزمایش تمام ترکیبات شماره تلفن یک حساب گوگل در زمان کوتاه فراهم می‌شد و بسته به طول شماره تلفن، ارقام صحیح در عرض چند ثانیه یا دقیقه به دست می‌آمد.

مهاجم همچنین می‌توانست از فرآیند “رمز عبور را فراموش کرده‌ام” گوگل برای کشف کد کشور مرتبط با شماره تلفن قربانی استفاده کند. علاوه بر این، با ایجاد یک سند Looker Studio و انتقال مالکیت آن به قربانی، نام کامل او در صفحه اصلی فاش می‌شد.

مراحل اجرای این حمله شامل موارد زیر بود:

فاش کردن نام نمایشی حساب گوگل از طریق Looker Studio

اجرای فرآیند بازیابی رمز عبور برای آدرس ایمیل هدف و دریافت شماره تلفن پوشیده شده که دو رقم آخر آن نمایش داده می‌شد

حمله بروت‌فورس به شماره تلفن در برابر نقطه پایانی بازیابی نام کاربری

brutecat گزارش داد که شماره‌های سنگاپوری در عرض 5 ثانیه و شماره‌های آمریکایی در حدود 20 دقیقه قابل کشف بودند. با دانستن شماره تلفن مرتبط با حساب گوگل، مهاجم می‌توانست از طریق حمله تعویض سیم‌کارت، کنترل حساب را به دست گیرد و رمز عبور هر حسابی که با آن شماره مرتبط بود را بازنشانی کند.

پس از افشای مسئولانه در 14 آوریل 2025، گوگل جایزه 5000 دلاری به محقق پرداخت کرد و با حذف کامل فرم بازیابی نام کاربری غیرجاوااسکریپت از 6 ژوئن 2025، این آسیب‌پذیری را برطرف کرد.

همین محقق پیش‌تر آسیب‌پذیری دیگری با جایزه 10000 دلار کشف کرده بود که می‌توانست برای فاش کردن آدرس ایمیل صاحبان کانال‌های یوتیوب استفاده شود. این کار با ترکیب نقص در API یوتیوب و یک API وب قدیمی مرتبط با Pixel Recorder انجام می‌شد.

در ماه مارس، brutecat همچنین نشان داد که می‌توان آدرس‌های ایمیل سازندگان محتوای عضو برنامه شراکت یوتیوب را با استفاده از مشکل کنترل دسترسی در نقطه پایانی “/get_creator_channels” به دست آورد. این کشف جایزه 20000 دلاری برای او به همراه داشت.

گوگل اعلام کرد: “مشکل کنترل دسترسی در /get_creator_channels باعث فاش شدن contentOwnerAssociation کانال می‌شود که منجر به افشای آدرس ایمیل کانال از طریق Content ID API می‌گردد. مهاجمی که به حساب گوگل با کانال عضو برنامه شراکت یوتیوب دسترسی دارد، می‌تواند آدرس ایمیل و جزئیات کسب درآمد هر کانال دیگر در این برنامه را به دست آورد.”