Un chercheur en cybersécurité a pu déterminer le numéro de téléphone lié à tout compte Google, des informations qui ne sont généralement pas publiques et souvent sensibles, selon le chercheur, Google et les propres tests de 404 Media.
Le problème a depuis été résolu mais à l’époque a présenté un problème de confidentialité dans lequel même les pirates avec relativement peu de ressources auraient pu se frayer un chemin vers les informations personnelles des peuples.
“Je pense que cet exploit est assez mauvais car c’est essentiellement une mine d’or pour Sim Swappers”, a écrit le chercheur indépendant en sécurité qui a trouvé le problème, qui passe par la poignée Brutecat, dans un e-mail. Les SIM Swappers sont des pirates qui reprennent le numéro de téléphone d’une cible afin de recevoir leurs appels et SMS, ce qui peut à son tour les permettre de pénétrer dans toutes sortes de comptes.
À la mi-avril, nous avons fourni à Brutecat l’une de nos adresses Gmail personnelles afin de tester la vulnérabilité. Environ six heures plus tard, Brutecat a répondu avec le numéro de téléphone correct et complet lié à ce compte.
“Essentiellement, c’est en train de brutation le nombre”, a déclaré Brutecat à propos de leur processus. Le forçage brute, c’est quand un pirate essaie rapidement différentes combinaisons de chiffres ou de personnages jusqu’à trouver celles qu’ils recherchent. En règle générale, c’est dans le contexte de la recherche du mot de passe de quelqu’un, mais ici Brutecat fait quelque chose de similaire pour déterminer le numéro de téléphone d’un utilisateur de Google.
Brutecat a déclaré dans un e-mail que le forçage brute prend environ une heure pour un numéro américain, ou 8 minutes pour un Royaume-Uni. Pour d’autres pays, cela peut prendre moins d’une minute, ont-ils déclaré.
Dans une vidéo qui l’accompagne démontrant l’exploit, Brutecat explique qu’un attaquant a besoin du nom d’affichage Google de la cible. Ils trouvent cela en transférant d’abord la propriété d’un document du produit Studio Looker de Google à la cible, dit la vidéo. Ils disent qu’ils ont modifié le nom du document comme des millions de caractères, ce qui se retrouve avec la cible qui ne soit pas informé de l’interrupteur de propriété. En utilisant un code personnalisé, qu’ils ont détaillé dans leur écriture, Brutecat barrage Google avec les suppositions du numéro de téléphone jusqu’à ce que le coupait.
“La victime n’est pas informée du tout :)”, une légende dans la vidéo se lit.
Un porte-parole de Google a déclaré à 404 Media dans un communiqué: «Ce problème a été résolu. Nous avons toujours souligné l’importance de travailler avec la communauté de la recherche sur la sécurité grâce à notre programme de récompenses de vulnérabilité et nous tenons à remercier le chercheur d’avoir signalé ce problème. Des soumissions de chercheurs comme celle-ci sont l’une des nombreuses façons de trouver rapidement et de résoudre les problèmes pour la sécurité de nos utilisateurs.»
Les numéros de téléphone sont une information clé pour les SIM Swappers. Ces types de pirates ont été liés à d’innombrables hacks de personnes individuelles afin de voler des noms d’utilisateur en ligne ou des crypto-monnaies. Mais les SIM Swappers sophistiqués ont également augmenté pour cibler des sociétés massives. Certains ont travaillé directement avec des gangs de ransomware d’Europe de l’Est.
Armé du numéro de téléphone, un SIM Swapper peut ensuite se faire passer pour la victime et convaincre ses télécommunications de rediriger les messages texte à une carte SIM que le pirate contrôle. À partir de là, le pirate peut demander des messages texte de réinitialisation de mot de passe ou des codes d’authentification multi-facteurs et se connecter aux précieux comptes de la victime. Cela pourrait inclure des comptes qui stockent la crypto-monnaie, voire plus dommageable, leur e-mail, qui à son tour pourrait accorder l’accès à de nombreux autres comptes.
Sur son site Web, le FBI recommande aux gens de ne pas annoncer publiquement leur numéro de téléphone pour cette raison. «Protégez vos informations personnelles et financières. N’annoncez pas votre numéro de téléphone, votre adresse ou votre actif financier, y compris la propriété ou l’investissement de la crypto-monnaie, sur les sites de médias sociaux», lit le site.
Dans leur article, Brutecat a déclaré que Google leur avait accordé 5 000 $ et un swag pour leurs conclusions. Initialement, Google a marqué la vulnérabilité comme ayant de faibles chances d’exploitation. La société a ensuite amélioré cette probabilité pour Medium, selon la rédaction de Brutecat.
