Exploitation d'une faille dans la récupération de compte Google : force brute des numéros de téléphone avec IPv6 et jetons BotGuard
Un chercheur en sécurité a découvert une vulnérabilité dans le processus de récupération de compte Google, permettant aux attaquants d'utiliser la force brute sur les numéros de téléphone pour accéder aux comptes des utilisateurs. La vulnérabilité exploitait le fait que le formulaire de récupération de compte fonctionnait toujours avec JavaScript désactivé, contournant la limitation de débit de Google et les CAPTCHA en utilisant la rotation d'IP IPv6 et les jetons BotGuard. Les attaquants obtenaient d'abord le nom de la cible via Looker Studio, puis utilisaient le flux de réinitialisation du mot de passe pour obtenir le suffixe du numéro de téléphone. Un programme personnalisé utilisait ensuite des proxys pour la force brute, révélant le numéro de téléphone complet. Google a depuis corrigé la vulnérabilité.