Уявіть, що хтось без вашого відома дізнається ваш номер телефону, а потім – і отримує доступ до вашої електронної пошти, банківських додатків або криптогаманця. Саме такий сценарій став можливим через уразливість у системі Google, яку нещодавно виявив незалежний дослідник кібербезпеки під псевдонімом brutecat.
Про проблему повідомило видання Wired, посилаючись на дані Google та журналістів 404 Media.
Телефонний номер часто здається чимось буденним, але насправді він – як пароль, який ви не змінюєте роками. І ось виявилося, що завдяки специфічній уразливості хакери могли його дізнатися, просто перебираючи цифри. Така атака називається brute force – тобто підбір варіантів, поки не знайдеться правильний.
Це відкривало двері для так званого SIM-swapping – коли зловмисник отримує нову SIM-карту з вашим номером. А далі – як по нотах: доступ до SMS, листів, двофакторної авторизації, а отже – до акаунтів, грошей, навіть криптовалюти.
Головне, що потрібно було хакерам – знати ваше ім’я користувача в Google. Далі – техніка: зловмисник передавав жертві документ з Google Looker Studio, який та навіть не помічала. Потім – хитрий трюк із перейменуванням файлу та спеціальним кодом для підбору номера. Буквально за хвилини можна було вирахувати номер телефону користувача у Великій Британії. У США – трохи довше, але теж швидко: приблизно година.
Журналісти навіть протестували систему: передали brutecat тестову пошту, і вже за шість годин він точно назвав прив’язаний номер телефону.
Після повідомлення про вразливість компанія спершу оцінила її як “низькорівневу”, але згодом визнала ризик вищим – і швидко закрила діру. Brutecat отримав винагороду $5000 за допомогу через офіційну програму повідомлень про помилки безпеки.
Навіть якщо ви не технар і не маєте криптогаманця, важливо розуміти: ваш номер телефону – не просто контакт. Це – “ключ”, яким можна відчинити багато цифрових дверей. А коли хтось отримує цей ключ – вже не ви вирішуєте, куди він зайде.
