Explotando un fallo en la recuperación de cuentas de Google: fuerza bruta de números de teléfono con IPv6 y tokens BotGuard
Un investigador de seguridad descubrió una vulnerabilidad en el proceso de recuperación de cuentas de Google, permitiendo a los atacantes usar fuerza bruta en números de teléfono para obtener acceso a las cuentas de los usuarios. La vulnerabilidad explotaba el hecho de que el formulario de recuperación de cuentas seguía funcionando con JavaScript deshabilitado, eludiendo la limitación de velocidad de Google y los CAPTCHA mediante la rotación de IP IPv6 y los tokens BotGuard. Los atacantes primero obtenían el nombre del objetivo a través de Looker Studio, luego usaban el flujo de restablecimiento de contraseña para obtener el sufijo del número de teléfono. Un programa personalizado luego usaba proxies para fuerza bruta, revelando el número de teléfono completo. Google ya ha corregido la vulnerabilidad.