Ausnutzung einer Sicherheitslücke in der Google-Kontowiederherstellung: Brute-Forcing von Telefonnummern mit IPv6 und BotGuard-Token
Ein Sicherheitsforscher hat eine Sicherheitslücke im Google-Kontowiederherstellungsprozess entdeckt, die es Angreifern ermöglicht, Telefonnummern per Brute-Force zu knacken, um Zugriff auf Benutzerkonten zu erhalten. Die Sicherheitslücke nutzte die Tatsache aus, dass das Kontowiederherstellungsformular auch bei deaktiviertem JavaScript funktionierte und somit die Ratenbegrenzung und CAPTCHAs von Google durch IPv6-IP-Rotation und BotGuard-Token umgangen wurden. Angreifer beschafften sich zunächst den Namen des Opfers über Looker Studio, nutzten dann den Passwort-Wiederherstellungs-Flow, um das Telefonnummernsuffix zu erhalten, und verwendeten schließlich ein benutzerdefiniertes Programm mit Proxies für Brute-Force, um die vollständige Telefonnummer aufzudecken. Google hat die Sicherheitslücke inzwischen behoben.