Používaš Gmail? Tvoje mobilné číslo mohlo uniknúť bez tvojho vedomia. Takto ľahko sa k nemu vedel dostať útočník
Google opravil chybu, ktorá umožňovala útočníkom získať telefónne číslo, ktoré je spojené s tvojim Gmail účtom.
Google čelil ďalšiemu bezpečnostnému incidentu. Tentokrát išlo o chybu, ktorá mohla viesť k odhaleniu aj tvojho telefónneho čísla spojeného s Google účtom. Na chybu upozornil výskumník známy pod prezývkou BruteCat, ktorý sa už v minulosti preslávil tým, že dokázal odhaliť súkromné e-mailové adresy YouTube účtov. Na novinku upozornil portál bleepingcomputer.com.
Tentokrát však išlo ešte o vážnejší problém. Vďaka zraniteľnosti v staršej verzii formulára na obnovenie používateľského mena bez podpory JavaScriptu bolo možné „brute-force“ útokom získať celé telefónne číslo používateľa a to len na základe mena profilu a čiastočnej znalosti čísla. Tento formulár už dnes Google nevyužíva, no bol dostupný dostatočne dlho na to, aby mohol spôsobiť škody.
Ako útok fungoval?
BruteCat objavil, že mohol získať prístup k starému formuláru na obnovenie používateľského mena, ktorý nebol chránený modernými bezpečnostnými mechanizmami. Stačilo zadať meno používateľa, napríklad „Ján Novák“, a pomocou skriptu postupne testovať rôzne telefónne čísla. Na základe odpovede systému vedel zistiť, ktoré čísla sú spojené s Google účtom daného mena.
Aby mohol útok fungovať vo veľkom rozsahu, BruteCat využil IPv6 rotáciu, vďaka ktorej obchádzal limity počtu požiadaviek z jednej IP adresy. Dokonca obchádzal aj CAPTCHA mechanizmus tým, že do požiadaviek vkladal platné bezpečnostné tokeny získané z iných formulárov.
Výsledkom bol nástroj schopný testovať desaťtisíce telefónnych čísel za sekundu. V prípade amerických čísiel by takto trvalo odhaliť celé číslo asi 20 minút, v prípade britských len niekoľko minút a v niektorých menších krajinách dokonca pár sekúnd.
Neprehliadni
BruteCat zraniteľnosť nahlásil cez Google Vulnerability Reward Program ešte v apríli 2025. Pôvodne Google zhodnotil problém ako nízke riziko, no po dôkladnejšej analýze v máji zmenil klasifikáciu na „stredne závažnú“ a výskumníkovi vyplatil odmenu 5 000 dolárov.
V júni potom spoločnosť definitívne odstavila starý formulár, cez ktorý útok fungoval. Momentálne teda už nie je možné tento typ útoku vykonať. Otázne však ostáva, či bola táto chyba niekedy zneužitá aj útočníkmi v praxi.
Ak sa niekomu podarí získať tvoje telefónne číslo spojené s Google účtom, môže to spustiť lavínu problémov. Môže sa jednať napríklad o SIM swap útoky, pri ktorých útočník získa kontrolu nad tvojím číslom. A tak následne aj nad celým účtom. Alebo o takzvaný „vishing„, teda telefonickom phishingu, kde ti niekto volá a predstiera, že je z banky, operátora či inej inštitúcie.
Zaujímavosťou je aj to, ako výskumník získaval ďalšie informácie potrebné na úspešný útok. Napríklad pomocou nástroja Looker Studio, kde si mohol získať Gmail adresu obete len tým, že jej „omylom“ pridelil vlastníctvo nad dokumentom. Alebo využil služby ako PayPal, ktoré pri obnove hesla zobrazujú niekoľko čísel telefónu. To stačí na to, aby si si zvyšok domyslel.
Aj keď je táto konkrétna chyba už opravená, ukazuje to, aké dôležité je chrániť si svoj online účet viacfaktorovým overením, nezverejňovať citlivé údaje a byť opatrný pri zadávaní údajov na neznámych stránkach.
Google síce chybu opravil, ale to neznamená, že útočníci nehľadajú ďalšie cesty. Ak si doteraz podceňoval bezpečnosť svojho účtu, tak je určite ten správny čas na zmenu.
Komentáre