Um pesquisador de cibersegurança conseguiu descobrir o número de telefone vinculado a qualquer conta do Google, informação que geralmente não é pública e muitas vezes é sensível, de acordo com o pesquisador, o Google e testes próprios da 404 Media.
O problema foi corrigido desde então, mas na época apresentava um problema de privacidade em que até hackers com recursos relativamente limitados poderiam ter forçado seu caminho para obter informações pessoais das pessoas.
“Acho que essa exploração é bastante grave, já que é basicamente uma mina de ouro para os trocadores de SIM”, escreveu em um e-mail o pesquisador independente de segurança que encontrou o problema, conhecido pelo nome de brutecat. Tais trocadores de SIM são hackers que assumem o número de telefone alvo para receber suas chamadas e mensagens, o que por sua vez pode permitir que eles acessem todos os tipos de contas.
Em meados de abril, fornecemos a brutecat um de nossos endereços de e-mail pessoal do Gmail para testar a vulnerabilidade. Cerca de seis horas depois, brutecat respondeu com o número de telefone correto e completo vinculado a essa conta.
“Basicamente, é forçar o número”, disse brutecat sobre seu processo. “Forçar” é quando um hacker tenta rapidamente diferentes combinações de dígitos ou caracteres até encontrar aqueles que está procurando. Normalmente isso é no contexto de encontrar a senha de alguém, mas aqui brutecat está fazendo algo semelhante para determinar o número de telefone de um usuário do Google.
Brutecat disse em um e-mail que a força bruta leva cerca de uma hora para um número dos EUA, ou 8 minutos para um do Reino Unido. Para outros países, pode levar menos de um minuto, disseram.
Em um vídeo demonstrando a exploração, brutecat explica que um atacante precisa do nome de exibição do Google da vítima. Eles encontram isso transferindo primeiro a propriedade de um documento do produto Looker Studio do Google para o alvo, diz o vídeo. Eles dizem que modificaram o nome do documento para ter milhões de caracteres, o que resulta na notificação do alvo da troca de propriedade. Usando algum código personalizado, que eles detalharam em seu artigo, brutecat então bombardeia o Google com adivinhações do número de telefone até conseguir um acerto.
“A vítima não é notificada :)”, diz uma legenda no vídeo.
Um porta-voz do Google disse à 404 Media em um comunicado: “Este problema foi corrigido. Sempre enfatizamos a importância de trabalhar com a comunidade de pesquisa de segurança por meio de nosso programa de recompensas por vulnerabilidades e queremos agradecer ao pesquisador por sinalizar esse problema. Envios de pesquisadores como esse são uma das muitas maneiras pelas quais podemos encontrar e corrigir rapidamente problemas para a segurança de nossos usuários.”
Os números de telefone são peças-chave de informação para os trocadores de SIM. Esses tipos de hackers têm sido associados a inúmeros hacks de pessoas individuais para roubar nomes de usuário online ou criptomoedas. Mas os trocadores de SIM sofisticados também passaram a mirar em empresas enormes. Alguns trabalharam diretamente com grupos de ransomware da Europa Oriental.
Equipado com o número de telefone, um trocador de SIM pode então se passar pela vítima e convencer sua empresa de telecomunicações a redirecionar mensagens de texto para um cartão SIM controlado pelo hacker. A partir daí, o hacker pode solicitar mensagens de texto de redefinição de senha ou códigos de autenticação de dois fatores e acessar as contas valiosas da vítima. Isso poderia incluir contas que armazenam criptomoedas ou, ainda mais prejudicial, o e-mail da vítima, que por sua vez poderia conceder acesso a muitas outras contas.
Em seu site, o FBI recomenda que as pessoas não divulguem publicamente seu número de telefone por esse motivo. “Proteja suas informações pessoais e financeiras. Não divulgue seu número de telefone, endereço ou ativos financeiros, incluindo propriedade ou investimento de criptomoedas, em sites de redes sociais”, diz o site.
Em seu artigo, brutecat disse que o Google lhes concedeu US$ 5.000 e alguns brindes por suas descobertas. Inicialmente, o Google classificou a vulnerabilidade como tendo uma baixa chance de exploração. A empresa mais tarde aumentou essa probabilidade para média, de acordo com o relato de brutecat.
