Um pesquisador de cibersegurança conseguiu descobrir o número de telefone vinculado a qualquer conta do Google, uma informação que geralmente não é pública e muitas vezes é sensível, de acordo com o pesquisador, o Google e os próprios testes da 404 Media.
O problema já foi corrigido, mas na época apresentava uma questão de privacidade na qual até mesmo hackers com recursos relativamente limitados poderiam forçar o acesso às informações pessoais das pessoas.
“Acho que esse exploit é bastante grave, já que é basicamente um tesouro para os trocadores de SIM”, escreveu o pesquisador de segurança independente que encontrou o problema, que usa o pseudônimo brutecat, em um e-mail. Os trocadores de SIM são hackers que assumem o controle do número de telefone de um alvo para receber suas chamadas e mensagens de texto, o que, por sua vez, pode permitir que eles invadam todo tipo de contas.
Em meados de abril, fornecemos a brutecat um de nossos endereços de Gmail pessoais para testar a vulnerabilidade. Cerca de seis horas depois, brutecat respondeu com o número de telefone completo e correto vinculado àquela conta.
“Essencialmente, é forçar o número”, disse brutecat sobre seu processo. Forçar é quando um hacker tenta rapidamente diferentes combinações de dígitos ou caracteres até encontrar os que está procurando. Normalmente, isso ocorre no contexto de encontrar a senha de alguém, mas aqui brutecat está fazendo algo semelhante para determinar o número de telefone de um usuário do Google.
Brutecat disse em um e-mail que a força bruta leva cerca de uma hora para um número dos EUA, ou 8 minutos para um do Reino Unido. Para outros países, pode levar menos de um minuto, disseram.
Em um vídeo que acompanha a demonstração do exploit, brutecat explica que um atacante precisa do nome de exibição do Google do alvo. Eles encontram isso primeiro transferindo a propriedade de um documento do produto Looker Studio do Google para o alvo, diz o vídeo. Eles afirmam ter modificado o nome do documento para milhões de caracteres, o que acaba fazendo com que o alvo não seja notificado da troca de propriedade. Usando um código personalizado, que detalharam em seu relatório, brutecat então bombardeia o Google com palpites do número de telefone até obter um acerto.
“A vítima não é notificada de forma alguma :)” lê uma legenda no vídeo.
Um porta-voz do Google disse à 404 Media em uma declaração: “Esse problema foi corrigido. Sempre enfatizamos a importância de trabalhar com a comunidade de pesquisa em segurança por meio de nosso programa de recompensas por vulnerabilidades e queremos agradecer ao pesquisador por sinalizar esse problema. Submissões de pesquisadores como essa são uma das muitas maneiras pelas quais conseguimos encontrar e corrigir rapidamente problemas para a segurança de nossos usuários.”
Números de telefone são uma peça-chave de informação para os trocadores de SIM. Esses tipos de hackers estão ligados a inúmeras invasões de pessoas individuais para roubar nomes de usuários online ou criptomoedas. Mas trocadores de SIM sofisticados também escalaram para atacar grandes empresas. Alguns trabalharam diretamente com gangues de ransomware da Europa Oriental.
Armado com o número de telefone, um trocador de SIM pode então se passar pela vítima e convencer sua operadora a redirecionar mensagens de texto para um cartão SIM que o hacker controla. A partir daí, o hacker pode solicitar mensagens de texto de redefinição de senha ou códigos de autenticação de múltiplos fatores e entrar nas contas valiosas da vítima. Isso pode incluir contas que armazenam criptomoedas ou, ainda mais prejudicial, seu e-mail, que por sua vez pode conceder acesso a muitas outras contas.
Em seu site, o FBI recomenda que as pessoas não anunciem publicamente seu número de telefone por essa razão. “Proteja suas informações pessoais e financeiras. Não anuncie seu número de telefone, endereço ou ativos financeiros, incluindo propriedade ou investimento em criptomoedas, em sites de redes sociais”, diz o site.
Em seu relatório, brutecat disse que o Google lhe concedeu US$ 5.000 e alguns brindes por suas descobertas. Inicialmente, o Google classificou a vulnerabilidade como tendo uma baixa chance de exploração. A empresa posteriormente atualizou essa probabilidade para média, de acordo com o relatório de brutecat.