Un investigador de seguridad ha identificado una vulnerabilidad crítica en el sistema de recuperación de cuentas de Google que podría haber permitido a los atacantes obtener los números de teléfono de los usuarios de Google explotando un mecanismo de recuperación obsoleto que funcionaba sin protecciones de JavaScript más nuevas.

¿Cómo se explotó la vulnerabilidad?

Resulta que el formulario de recuperación de nombre de usuario de Google ha estado funcionando con JavaScript deshabilitado, eludiendo las protecciones contra bots modernas implementadas para otros servicios desde 2018.

Según el investigador de seguridad que encontró el problema, los atacantes podrían haber utilizado dos solicitudes HTTP específicas que les permitirían verificar si un número de teléfono estaba vinculado a una cuenta de Google específica.

Incluso si las defensas de Google incluían restricciones basadas en IP y protecciones CAPTCHA, era posible rotar direcciones IPv6 y evitar estas limitaciones por completo.

Escenario de ataque en el mundo real

Un atacante primero identificaría el nombre de usuario de la cuenta de Google de la víctima. Utilizando pistas del proceso de recuperación de cuentas de Google que revelan números de teléfono parciales, los atacantes podrían obtener los dígitos faltantes por fuerza bruta.

Los atacantes podrían usar hardware de consumo que cuesta tan solo 0,30 dólares por hora para acceder a números de teléfono por fuerza bruta. En países con un número de teléfono más pequeño, como Singapur, esto podría tardar solo unos minutos. En países más grandes, como Estados Unidos, podría tardar 20 minutos o más.

Posibles consecuencias para los usuarios

Si los atacantes hubieran descubierto esta vulnerabilidad primero, podría haber provocado lo siguiente:

• Violaciones masivas de la privacidad, que exponen números de teléfono personales vinculados a cuentas de Google.
• Mayor riesgo de ataques de phishing dirigidos, estafas e intentos de ingeniería social, ya que los atacantes podrían explotar números de teléfono personales para parecer confiables o familiares.
• Posibles apropiaciones de cuentas mediante el uso de números de teléfono en posteriores ataques de recuperación y verificación de cuentas.

La respuesta de Google

Inicialmente, Google otorgó al investigador una recompensa de $1,337, considerando que era improbable que la vulnerabilidad fuera explotada ampliamente. Sin embargo, tras reconocer su gravedad y el daño potencial, Google aumentó la recompensa a $5,000 y solucionó el problema rápidamente, descontinuando por completo los procesos vulnerables para junio de 2025.

¿Qué pueden hacer los usuarios?

• Revise y actualice periódicamente la configuración de seguridad de su cuenta.

• Habilite la autenticación de dos factores (2FA) siempre que sea posible.

• Manténgase alerta y atento a los mensajes inesperados, especialmente aquellos que solicitan detalles personales o de su cuenta.

Fuente: Bitdefender Central