Malwarebytesは6月10日(米国時間)、「Google bug allowed phone number of almost any user to be discovered|Malwarebytes」において、Googleアカウントの再設定用電話番号を窃取できる脆弱性が発見されたと報じた。

この脆弱性はbrutecatと名乗るセキュリティ研究者により発見された。脆弱性を悪用することで、数秒から十数分ほどで電話番号を特定できるとされる。

○ユーザー名復元ページへの総当たり攻撃

研究者が公開した情報によると、脆弱性はJavaScriptを必要としないユーザー名復元ページに存在したという。このページは回復用の電子メールアドレスまたは電話番号が、特定の表示名に関連付けられているか検証する機能を提供しており、単純なHTTPリクエストを送信するだけで検証できるという(参考:「Bruteforcing the phone number of any Google user」)。

.