Il ricercatore, noto con lo pseudonimo brutecat, ha spiegato di essere riuscito a ottenere il numero di telefono di recupero sfruttando una catena di attacco che combinava diversi processi. L'exploit riusciva a eludere i meccanismi anti-bot di Google, che limitano il numero di richieste di reset password, permettendo così di forzare il sistema provando sistematicamente tutte le possibili combinazioni numeriche fino a trovare quella corretta. Secondo il ricercatore, automatizzando il processo, era possibile risalire al numero di telefono di un account in circa 20 minuti.
Un portavoce di Google, Kimberly Samra, ha commentato la vicenda dichiarando: "Questo problema è stato risolto. Abbiamo sempre sottolineato l'importanza di lavorare con la comunità dei ricercatori di sicurezza [...] e li ringraziamo per aver segnalato il problema", aggiungendo che, "al momento, non ci sono notizie confermate e riguardo l'utilizzo attivo di questa falla".
Per la sua scoperta, avvenuta tramite il programma di divulgazione responsabile delle vulnerabilità, brutecat ha ricevuto da Google una ricompensa di 5.000 dollari nell'ambito del suo programma di bug bounty. Se volete saperne di più su questo exploit, qui di seguito trovate un video che mostra il processo in azione.
Our new Chess course will have you thinking five moves ahead