باحث الأمن السيبراني كان قادرًا على معرفة رقم الهاتف المرتبط بأي حساب Google ، والمعلومات التي عادة ما تكون عامة وغالبًا ما تكون حساسة ، وفقًا للباحث ، و Google ، و 404 Media Expts.
تم إصلاح المشكلة منذ ذلك الحين ، لكن في ذلك الوقت قدمت قضية خصوصية يمكن للمتسللين الذين لديهم موارد قليلة نسبيًا أن يكون قد أجبرهم على المعلومات الشخصية للشعوب.
“أعتقد أن هذا الاستغلال سيء للغاية لأنه منجم ذهبي في الأساس لسيم سيم سبيبرز” ، كتب باحث الأمن المستقل الذي وجد القضية ، الذي يذهب إلى مقبض Bretecat ، في رسالة بالبريد الإلكتروني. Sim Swappers هم المتسللين الذين يتولىون رقم هاتف الهدف من أجل تلقي مكالماتهم ونصوصهم ، والتي بدورها يمكن أن تسمح لهم بالتحريك جميع أنواع الحسابات.
في منتصف أبريل ، قدمنا BRUTECAT مع أحد عناوين Gmail الشخصية من أجل اختبار الضعف. بعد حوالي ست ساعات ، أجاب Bretecat برقم الهاتف الصحيح والكامل المرتبط بهذا الحساب.
وقال بروتيكات عن عمليته: “في الأساس ، إنه يبرز الرقم”. إن الإجبار الغاشمة هي عندما يحاول المتسلل بسرعة مجموعات مختلفة من الأرقام أو الشخصيات حتى العثور على تلك التي يتبعونها. عادةً ما يكون ذلك في سياق العثور على كلمة مرور شخص ما ، ولكن هنا يقوم Bretecat بشيء مشابه لتحديد رقم هاتف مستخدم Google.
قال بروتيكات في رسالة بريد إلكتروني ، يستغرق الإجبار الغاشمة حوالي ساعة واحدة لرقم أمريكي ، أو 8 دقائق لواحدة المملكة المتحدة. وقالوا إن الأمر قد يستغرق أقل من دقيقة.
في مقطع فيديو مصاحب يوضح الاستغلال ، يشرح Brotecat أن المهاجم يحتاج إلى اسم عرض Google الخاص بـ Target. يجد ذلك عن طريق نقل ملكية مستند من منتج Sudio الخاص بـ Google إلى الهدف أولاً ، كما يقول الفيديو. يقولون إنهم قاموا بتعديل اسم المستند ليكون ملايين الشخصيات ، والتي ينتهي بها الهدف من عدم إخطار مفتاح الملكية. باستخدام بعض التعليمات البرمجية المخصصة ، التي قاموا بالتفصيل في كتابتها ، فإن Brutecat ثم يحارب Google مع تخمينات رقم الهاتف حتى الحصول على ضربة.
“لا يتم إخطار الضحية على الإطلاق :)” قرأت تعليق في الفيديو.
أخبر متحدث باسم Google 404 وسائل الإعلام في بيان “تم إصلاح هذه المشكلة. لقد أكدنا دائمًا على أهمية العمل مع مجتمع أبحاث الأمن من خلال برنامج مكافآت الضعف لدينا ، ونريد أن نشكر الباحث على وضع علامة على هذه المشكلة. إن تقديمات الباحث مثل هذه هي إحدى الطرق العديدة التي يمكننا العثور عليها بسرعة وإصلاح المشكلات لسلامة مستخدمينا.”
أرقام الهواتف هي جزء أساسي من المعلومات لمشربي SIM. تم ربط هذه الأنواع من المتسللين بعدد لا يحصى من المتسللين من الأفراد من أجل سرقة أسماء المستخدمين عبر الإنترنت أو العملة المشفرة. لكن مؤشرات SIM المتطورة تصاعدت أيضًا لاستهداف الشركات الضخمة. لقد عمل البعض مباشرة مع عصابات الفدية من أوروبا الشرقية.
مسلحًا برقم الهاتف ، قد ينتحل Sim Swapper الضحية وإقناع الاتصالات الخاصة بهم لإعادة توجيه الرسائل النصية إلى بطاقة SIM التي تحكمها Hacker. من هناك ، يمكن للمتسلل طلب إعادة تعيين الرسائل النصية لمرض كلمة المرور ، أو رموز المصادقة متعددة العوامل ، وتسجيل الدخول إلى حسابات الضحية القيمة. يمكن أن يشمل ذلك حسابات تخزن العملة المشفرة ، أو حتى أكثر إضرارًا ، بريدهم الإلكتروني ، والذي بدوره يمكن أن يمنح الوصول إلى العديد من الحسابات الأخرى.
على موقعه على الويب ، يوصي مكتب التحقيقات الفيدرالي الأشخاص بعدم الإعلان عن رقم هاتفهم علنًا لهذا السبب. “حماية معلوماتك الشخصية والمالية. لا تعلن عن رقم هاتفك أو عنوانك أو الأصول المالية ، بما في ذلك ملكية أو استثمار العملة المشفرة ، على مواقع التواصل الاجتماعي” ، يقول الموقع.
في كتابتهم ، قال بروتيكات إن Google منحتهم 5000 دولار وبعض غنيمة النتائج الخاصة بهم. في البداية ، تميزت Google بالضعف على أنها فرصة منخفضة للاستغلال. قامت الشركة لاحقًا بترقية هذا الاحتمال إلى المتوسط ، وفقًا لكتابة Bretecat.
