Уязвимость, которую нашел Brutecat, давала хакерам с относительно небольшими ресурсами возможность получить доступ к личной информации людей, пишут 404 Media и Wired.

«Я считаю, что этот эксплойт довольно плохой, поскольку это фактически золотая жила для тех, кто практикует SIM-swapping», — сказал исследователь, имея в виду киберпреступников, которые захватывают номера телефонов жертв, чтобы получать их звонки и текстовые сообщения и, как следствие, получать доступ к различным аккаунтам.

В апреле журналисты проверили эффективность этого эксплойта, предложив Brutecat получить данные одного из их личных адресов Gmail. Примерно через шесть часов исследователь ответил, указав правильный и полный номер телефона, связанный с этой учетной записью. Для этого он использовал довольно простой метод перебора. Он быстро пробовал различные комбинации цифр или символов, пока не нашел те, которые ему нужны. Обычно так делают, чтобы определить чей-то пароль. Brutecat сообщил, что перебор занимает около часа для номера из США или восемь минут для номера из Великобритании. Для других стран это может занять меньше минуты, добавили они. Злоумышленнику достаточно знать только имя пользователя в Google.

Представитель Google заявил в комментарии 404 Media, что эта проблема уже исправлена.

«Мы всегда подчеркивали важность сотрудничества с сообществом исследователей безопасности через нашу программу вознаграждений за уязвимости, и мы хотим поблагодарить исследователя за то, что он сообщил об этой проблеме. Такие материалы исследователей — это один из многих способов, которыми мы можем быстро находить и исправлять проблемы для безопасности наших пользователей», — добавил представитель.

Сначала Google обозначила эту уязвимость как имеющую низкую вероятность использования, но позже компания повысила эту вероятность до средней. Brutecat также сообщил, что получил 5000 долларов от Google и еще некоторые вознаграждения за свои находки.