Google soluciona un error que podría exponer los números de teléfono privados de los usuarios.

Un investigador de seguridad ha identificado una vulnerabilidad que podría ser utilizada para revelar el número de teléfono de recuperación privado de casi cualquier cuenta de Google sin que su propietario lo sepa, lo que potencialmente compromete la privacidad y la seguridad de los usuarios. Google confirmó que abordó esta falla tras ser notificada por el investigador en abril.

El investigador, que utiliza el pseudónimo brutecat y ha compartido sus hallazgos en un blog, explicó que podía obtener el número de recuperación de una cuenta de Google aprovechando un fallo en la función de recuperación de cuentas de la empresa. Este exploit se basaba en una "cadena de ataque" compuesta por varios procesos individuales que operaban en conjunto, incluyendo la filtración del nombre completo del perfil objetivo y la elusión de un mecanismo de protección contra bots que Google había implementado para prevenir el envío malicioso de solicitudes de restablecimiento de contraseñas. Variar los límites de tasa permitió al investigador probar todas las combinaciones posibles del número de teléfono en poco tiempo y encontrar los dígitos correctos.

Al automatizar la cadena de ataque con un script, el investigador indicó que era posible obtener el número de teléfono de recuperación de una cuenta de Google en 20 minutos o menos, dependiendo de la longitud del número. Para probar esta vulnerabilidad, se creó una nueva cuenta de Google con un número que nunca había sido utilizado antes, luego se le proporcionó a brutecat la dirección de correo electrónico de esa cuenta. Poco después, el investigador respondió con el número de teléfono que se había configurado, expresando "bingo :)".

Revelar un número de teléfono de recuperación privado puede exponer incluso a cuentas anónimas de Google a ataques dirigidos, como intentos de toma de control. Conocer el número privado asociado a una cuenta podría facilitar a hackers especializados la posibilidad de apoderarse de dicho número mediante un ataque de intercambio de SIM. Con el control del número, el atacante puede restablecer la contraseña de cualquier cuenta vinculada a ese número al generar códigos de restablecimiento de contraseña que se envían a ese teléfono.

Dada la posible amenaza para el público en general, se decidió posponer la publicación de esta información hasta que se corrigiera el error. Un portavoz de Google, Kimberly Samra, comentó que la compañía ha enfatizado la importancia de colaborar con la comunidad de investigadores de seguridad a través de su programa de recompensas por vulnerabilidades y agradeció al investigador por señalar este problema. Samra también indicó que hasta el momento no han encontrado "enlaces directos confirmados a explotaciones". El investigador recibió $5,000 como recompensa por su hallazgo.