Neovisni istraživač iz područja kibernetičke sigurnosti, poznat pod nadimkom brutecat, otkrio je ozbiljan sigurnosni propust zahvaljujući kojem je bilo moguće otkriti telefonski broj povezan s bilo kojim Google računom. Ova informacija inače nije javno dostupna te se često smatra iznimno osjetljivom.
Propust je od tada ispravljen, no u trenutku otkrića predstavljao je ozbiljnu prijetnju privatnosti jer su čak i hakeri s ograničenim resursima mogli doći do osobnih podataka korisnika korištenjem takozvanih brute force metoda. „Mislim da je ovaj propust prilično opasan jer je prava riznica za SIM swappere”, izjavio je istraživač u komunikaciji s medijima. SIM swapperima nazivaju se hakeri koji preuzimaju kontrolu nad telefonskim brojem žrtve radi pristupa pozivima i porukama, što može dovesti do provale u brojne druge račune.
Konkretna ranjivost iskorištavala je način na koji Googleov alat Looker Studio postupa s promjenom vlasništva nad dokumentima. BruteCat je demonstrirao kako je moguće, bez obavijesti žrtvi, prenijeti vlasništvo nad dokumentom s izuzetno dugačkim nazivom te zatim, uz pomoć prilagođenog algoritma za pogađanje, pogoditi točan telefonski broj vezan uz određeni Google račun.
Za američke brojeve postupak bi trajao oko sat vremena, dok bi za britanske to bilo svega 8 minuta, a za neke druge zemlje i manje od minute. „Žrtva o tome nije uopće obaviještena :)” – istaknuto je u njegovoj video demonstraciji.
Nakon prijave propusta, Google je izjavio: „Ovaj problem je otklonjen. Oduvijek naglašavamo važnost suradnje sa sigurnosnom istraživačkom zajednicom kroz naš program nagrađivanja za otkrivene ranjivosti te zahvaljujemo istraživaču na prijavi ovog problema. Takve prijave omogućuju nam brzo otkrivanje i rješavanje sigurnosnih izazova na dobrobit korisnika.”
Telefonski brojevi ključni su podatak za SIM swap napade koji su povezani s brojnim provalama u korisničke račune i krađom kriptovaluta ili drugih osjetljivih podataka. Napredni napadači sve češće ciljaju i velike tvrtke, a povezuju se s hakerskim skupinama iz istočne Europe i ransomware napadima. FBI zbog toga preporučuje kako građani ne bi smjeli javno dijeliti brojeve svojih telefona: „Čuvajte osobne i financijske podatke. Ne oglašavajte broj telefona, adresu ili financijsku imovinu, uključujući posjedovanje ili ulaganje u kriptovalute, na društvenim mrežama.”
Za prijavu ranjivosti Google je brutecatu isplatio nagradu od 5 000 dolara te dodatnu promotivnu robu. Prvotni Googleov interni pregled procijenio je vjerojatnost iskorištavanja kao nisku, no nakon dodatne analize, procjena je izmijenjena na srednju razinu.