São Paulo — InkDesign News —
A Google corrigiu uma vulnerabilidade de segurança que permitia acesso não autorizado à página de recuperação de contas e expunha informações sensíveis, como números de telefone, a ataques de força bruta.
Vetor de ataque
Um pesquisador de segurança, conhecido como Brutecat, descobriu que a página para recuperar senhas funcionava sem JavaScript, o que desabilitava a proteção do BotGuard, uma solução de segurança na nuvem destinada a proteger websites de bots maliciosos e ataques automatizados. Isso permitiu que o pesquisador realizasse requisições HTTP POST para verificar se um número de telefone estava associado a um nome de exibição específico.
Impacto e resposta
“Isso me surpreendeu, pois pensava que esses formulários de recuperação de contas exigiam JavaScript desde 2018, uma vez que dependiam de soluções do BotGuard baseadas em código JavaScript ofuscado para antiabuso.”
(“This surprised me, as I used to think these account recovery forms required JavaScript since 2018 as they relied on BotGuard solutions generated from heavily obfuscated, proof-of-work JavaScript code for anti-abuse.”)— Brutecat, Pesquisador de Segurança
Após a descoberta, Brutecat relatou a falha à Google em 14 de abril. A gigante do Google reconheceu a vulnerabilidade até 25 de abril e implementou a correção completa até 6 de junho, desativando o uso do formulário de recuperação sem JavaScript.
Análise e recomendações
A vulnerabilidade poderia ter sido explorada para facilitar ataques de phishing e sim-swapping, uma vez que informações pessoais, como números de telefone, são frequentemente usadas na recuperação de contas. O pesquisador conseguiu realizar até 40 mil requisições por segundo, permitindo que um atacante descobrisse números de recuperação em apenas 20 minutos nos EUA, reduzindo para 4 minutos no Reino Unido.
Para mitigar futuras explorações, especialistas recomendam que a Google e outras empresas reforcem as medidas de segurança e implementem verificações adicionais para prevenir acesso não autorizado a informações sensíveis.
O impacto desta vulnerabilidade sublinha a importância de manter os sistemas de recuperação de contas seguros e a necessidade de colaboração contínua entre a comunidade de pesquisa em segurança e as empresas de tecnologia.
Fonte: (Dark Reading – Segurança Cibernética)
