Webtagr - Résumé de news de technologie

Tags populaires：

Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Exploitation d'une faille dans la récupération de compte Google : force brute des numéros de téléphone avec IPv6 et jetons BotGuard

2025-06-09

Un chercheur en sécurité a découvert une vulnérabilité dans le processus de récupération de compte Google, permettant aux attaquants d'utiliser la force brute sur les numéros de téléphone pour accéder aux comptes des utilisateurs. La vulnérabilité exploitait le fait que le formulaire de récupération de compte fonctionnait toujours avec JavaScript désactivé, contournant la limitation de débit de Google et les CAPTCHA en utilisant la rotation d'IP IPv6 et les jetons BotGuard. Les attaquants obtenaient d'abord le nom de la cible via Looker Studio, puis utilisaient le flux de réinitialisation du mot de passe pour obtenir le suffixe du numéro de téléphone. Un programme personnalisé utilisait ensuite des proxys pour la force brute, révélant le numéro de téléphone complet. Google a depuis corrigé la vulnérabilité.

Lire plus

Faille critique sur YouTube permettant de divulguer les e-mails des utilisateurs via Pixel Recorder

2025-02-12

Une faille critique sur YouTube permet aux attaquants de divulguer l'adresse e-mail de n'importe quel utilisateur de YouTube en exploitant le service Google Pixel Recorder. La chaîne d'attaque consiste d'abord à obtenir l'ID Gaia obfuscated de l'utilisateur via le point de terminaison /get_item_context_menu de YouTube. Ensuite, en utilisant la fonctionnalité de partage de Pixel Recorder et en contournant les mécanismes de notification, l'attaquant convertit l'ID Gaia en adresse e-mail. Bien que l'exploitation nécessite une chaîne complexe d'étapes, son impact est significatif, entraînant une récompense de 10 500 $ de la part de Google.

Lire plus