Onderzoekers hebben een serieus accountlek in Google’s accountherstelproces ontdekt, waardoor kwaadwillenden met een brute-force-aanval telefoonnummers gekoppeld aan Google-accounts konden achterhalen. Inmiddels heeft Google stappen ondernomen om het lek te dichten.
Lees verder na de advertentie.
Brutecat ontdekte probleem
De ontdekking kwam van een beveiligingsonderzoeker met de alias Brutecat. Door gebruik te maken van een verouderde gebruikersnaam herstelpagina, eentje zonder moderne JavaScript-beveiligingen, bleek het mogelijk om telefoonnummers van gebruikers te raden. De aanvaller hoefde alleen de displaynaam van het Google-account te weten. Vervolgens werd de oude pagina gebruikt om telefoonnummers op te vragen.
Daarna volgde een brute-force-aanpak, waarbij een script elk mogelijk nummer probeerde te verifiëren. De aanvaller kon op deze manier binnen enkele minuten het telefoonnummer uit Nederland achterhalen. Nummers uit andere landen zoals de Verenigde Staten hadden maximaal twintig minuten nodig. Dit alles was mogelijk zonder dat het slachtoffer op de hoogte was van de aanval.
Gelukkig heeft Google het accountlek inmiddels gedicht. “We benadrukken altijd het belang van de betrokken gemeenschap en willen de onderzoeker danken voor het duiden van dit probleem”, aldus Google tegen TechCrunch.
Lees verder na de advertentie.
Accountlek gedicht
Brutecat meldde de lek op 14 april via het Google Vulnerability Reward Program. Google dacht in eerste instantie dat het ging om een klein probleem. Uiteindelijk werd het gevaar aangegeven als “gemiddeld gevaar”. Daardoor kreeg Brutecat een vergoeding van 5.000 dollar voor het doorgeven van het probleem.Het verouderde herstelformulier is inmiddels definitief verwijderd, waardoor het lek niet langer misbruikt kan worden.
Lees verder na de advertentie.
Hoewel Google aanvankelijk het risico als laag inschatte, erkende het bedrijf later dat kwaadwillenden met standaard hulpmiddelen zoals cloudservers en brute-force-scripts een reëel gevaar vormden, vooral in combinatie met SIM-swapping tactieken. Het lek is daarmee gepatcht, maar de ontdekking benadrukt hoe belangrijk het is om zorgvuldig om te gaan met ogenschijnlijk onschadelijke gegevens zoals een telefoonnummer.
Heb jij tips om jouw Google-account te beschermen? Laat het weten in de reacties.
Reacties
Inloggen of registreren
om een reactie achter te laten