Google corrige falha que expunha números de telefone privados de usuários

O Google solucionou uma vulnerabilidade que permitia a exposição do número de telefone de recuperação de praticamente qualquer conta da plataforma, sem que o usuário fosse notificado. A falha foi descoberta pelo pesquisador de segurança conhecido como “brutecat”.

A exploração exigia uma cadeia de ataques coordenados, incluindo o vazamento do nome de exibição completo da conta-alvo e a quebra de uma proteção anti-bot projetada para impedir o envio automatizado de solicitações de redefinição de senha. Ao contornar essa barreira, o pesquisador conseguiu testar rapidamente todas as combinações possíveis até identificar os dígitos corretos do número de telefone.

Segundo ele, com o uso de um script automatizado, era possível descobrir o número de telefone de recuperação de uma conta em menos de 20 minutos, dependendo do número de dígitos.

O Google informa que a falha já foi corrigida e que não há evidências de que ela tenha sido explorada em ataques reais.