Egy kiemelkedő kiberbiztonsági szakértő, aki a „brutecat” felhasználónéven ismert, nemrégiben fedezett fel egy jelentős sebezhetőséget a Google rendszereiben, amely képes volt kompromittálni a felhasználók telefonszámait. Ez a biztonsági rés óriási kockázatot jelentett, hiszen lehetővé tette a támadók számára, hogy privát helyreállítási telefonszámokat szerezzenek meg anélkül, hogy a fiók tulajdonosa erről tudomást szerzett volna. A felfedezés rendkívüli jelentőségű, hiszen a telefonszámok kritikus azonosítók, amelyek számos online szolgáltatás, köztük a Gmail és a YouTube fiókok biztonságának alapját képezik.
A Google, miután értesült erről a kritikus hibáról áprilisban, azonnal lépéseket tett annak orvoslására. Ez a gyors reakció elengedhetetlen volt a felhasználók adatainak védelme érdekében, és hangsúlyozza a vállalat elkötelezettségét a kiberbiztonság iránt. A hiba kijavítása után a Google elismerte a szakember munkáját egy jelentős, 5000 dolláros (körülbelül 1,7 millió forintos) pénzjutalommal, ami a bug bounty programok keretében járó szokásos gyakorlat. Ez a jutalom nemcsak a kutató elhivatottságát díjazza, hanem ösztönzi is a független szakembereket a rendszeres biztonsági auditokra.
A brutecat által azonosított sebezhetőség kihasználása egy komplex, úgynevezett támadási láncot igényelt. Ez nem egy egyszerű, egyetlen lépésből álló eljárás volt, hanem több, egymással összefüggő folyamat kombinációja. Ennek része volt a Google által bevezetett jelszó-visszaállítási mechanizmusok kijátszása, ami egy olyan védelmi réteg, amelyet kifejezetten az ilyen típusú visszaélések megakadályozására terveztek. A folyamat végső lépéseként a szakember szisztematikusan végigpróbálta a lehetséges telefonszám-variációkat, amíg meg nem találta a helyes kombinációt. Ez a módszer, bár technikailag bonyolult, automatizálható volt, és a kutató becslése szerint maximum 20 percet vett igénybe egyetlen telefonszám megszerzése, a számjegyek hosszától függően. Ez a gyorsaság különösen aggasztóvá tette a hibát, mivel tömeges adatszivárgás veszélyét hordozta.
A felfedezés valóságtartalmának ellenőrzésére a TechCrunch nevű online lap együttműködött a kiberbiztonsági kutatóval. Létrehoztak egy új Google-fiókot egy olyan telefonszámmal, amelyet korábban soha senki nem használt. A kutató rövid időn belül képes volt visszaküldeni a lapnak ezt a frissen regisztrált számot, bizonyítva, hogy a módszere hatékonyan működött. Ez a teszt egyértelműen megerősítette a sebezhetőség létét és súlyosságát.
Az ilyen jellegű biztonsági rések súlyos következményekkel járhatnak. A megszerzett telefonszámok felhasználhatók rosszindulatú célokra, például adathalászati kampányokhoz, fiókátvételekhez, vagy akár pénz kicsalására is az áldozatoktól. Egy telefonszám gyakran a kétlépcsős azonosítás alapját képezi, így annak kompromittálása azonnali veszélyt jelent a felhasználói fiókok biztonságára nézve. A Google gyors beavatkozása és a hiba kijavítása alapvető fontosságú volt a felhasználói adatok védelmében, és rávilágít a folyamatos kiberbiztonsági éberség szükségességére a digitális világban. A független kutatók, mint a brutecat, kritikus szerepet játszanak ebben a folyamatos védekezésben, azonosítva és jelentve a gyenge pontokat, mielőtt rosszindulatú szereplők kihasználhatnák azokat.
