Webtagr - Technologienummer

Beliebte Tags：

Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Ausnutzung einer Sicherheitslücke in der Google-Kontowiederherstellung: Brute-Forcing von Telefonnummern mit IPv6 und BotGuard-Token

2025-06-09

Ein Sicherheitsforscher hat eine Sicherheitslücke im Google-Kontowiederherstellungsprozess entdeckt, die es Angreifern ermöglicht, Telefonnummern per Brute-Force zu knacken, um Zugriff auf Benutzerkonten zu erhalten. Die Sicherheitslücke nutzte die Tatsache aus, dass das Kontowiederherstellungsformular auch bei deaktiviertem JavaScript funktionierte und somit die Ratenbegrenzung und CAPTCHAs von Google durch IPv6-IP-Rotation und BotGuard-Token umgangen wurden. Angreifer beschafften sich zunächst den Namen des Opfers über Looker Studio, nutzten dann den Passwort-Wiederherstellungs-Flow, um das Telefonnummernsuffix zu erhalten, und verwendeten schließlich ein benutzerdefiniertes Programm mit Proxies für Brute-Force, um die vollständige Telefonnummer aufzudecken. Google hat die Sicherheitslücke inzwischen behoben.

Technologie

Kritische YouTube-Schwachstelle ermöglicht E-Mail-Lecks über Pixel Recorder

2025-02-12

Eine kritische Sicherheitslücke in YouTube ermöglicht es Angreifern, die E-Mail-Adresse jedes YouTube-Nutzers durch Ausnutzung des Google Pixel Recorder-Dienstes zu offenbaren. Die Angriffskette besteht darin, zuerst die verschleierte Gaia-ID des Nutzers über den YouTube-Endpunkt /get_item_context_menu zu erhalten. Anschließend wird die Funktion zum Teilen von Pixel Recorder genutzt und Benachrichtigungsmechanismen umgangen, um die Gaia-ID in eine E-Mail-Adresse umzuwandeln. Obwohl die Ausnutzung eine komplexe Kette von Schritten erfordert, ist ihre Auswirkung erheblich und führte zu einer Belohnung von 10.500 US-Dollar von Google.