AI summary
Kerentanan dalam sistem pemulihan akun Google dapat dieksploitasi untuk mengungkap informasi pribadi. Pengungkapan nomor telepon pemulihan dapat menyebabkan risiko keamanan yang serius bagi pengguna. Pentingnya kolaborasi antara peneliti keamanan dan perusahaan teknologi dalam mengatasi masalah keamanan. Seorang peneliti keamanan yang dikenal dengan nama brutecat menemukan bug keamanan di fitur pemulihan akun Google. Bug ini memungkinkan seseorang mendapatkan nomor telepon pemulihan milik pengguna lain tanpa pemberitahuan ke pemilik akun.Eksploitasi bug ini dilakukan dengan memanfaatkan beberapa tahapan, termasuk membocorkan nama lengkap pemilik akun dan melewati sistem perlindungan anti-bot Google yang biasanya membatasi jumlah permintaan pemulihan akun agar tidak spam.Dengan melewati batasan tersebut, peneliti dapat menggunakan teknik brute force untuk mencoba semua kemungkinan nomor telepon yang terkait dengan akun dalam waktu singkat, kurang dari 20 menit, hingga menemukan nomor yang benar.Jika nomor telepon pemulihan diketahui, akun Google bisa lebih mudah diserang, misalnya dengan serangan SIM swap, yang memungkinkan penyerang mengambil alih nomor telepon dan mereset kata sandi akun tersebut.Google telah mengonfirmasi bug tersebut sudah diperbaiki dan menyatakan berterima kasih kepada peneliti yang melaporkan bug ini melalui program bug bounty, di mana brutecat menerima hadiah sebesar 5.000 dolar.
