Di recente, è emersa un’indagine sulla cybersicurezza che ha evidenziato una recente falla. Quest’ultima riguarda il sistema di recupero degli account Google. La vulnerabilità, ora corretta, avrebbe potuto consentire ai malintenzionati di ottenere il numero di telefono associato a un qualsiasi profilo Google. Il tutto senza che l’utente interessato ricevesse notifiche o avvisi. A fare la scoperta è stato un ricercatore noto online con lo pseudonimo brutecat. Il meccanismo, alla base di tale vulnerabilità, sfruttava una combinazione di elementi all’interno del flusso di recupero account.
La falla che colpiva il sistema di recupero degli account Google
Attraverso una serie di richieste ben orchestrate e l’elusione dei sistemi anti-bot implementati dall’azienda di Mountain View, l’attacco riusciva ad aggirare i limiti previsti per proteggere gli utenti dal brute-force. Automatizzando tale procedimento, il ricercatore è riuscito a risalire in circa 20 minuti al numero di telefono di recupero di qualsiasi account. Ottenere tale informazione permette agli hacker di effettuare ulteriori attacchi mirati. Come phishing, SIM swapping o persino tentativi di accesso non autorizzati sfruttando l’autenticazione a due fattori.
Dopo aver individuato la vulnerabilità, brutecat ha seguito il protocollo di “responsible disclosure“, contattando direttamente Google con il programma di bug bounty. Quest’ultimo incentiva ricercatori indipendenti a segnalare falle in modo etico. L’azienda ha reagito prontamente e, dopo aver corretto la falla, ha riconosciuto l’importanza della collaborazione con la comunità di esperti.
Come riconoscimento per la sua scoperta, brutecat ha ricevuto una ricompensa di 5.000 dollari da parte di Google. Ciò nell’ambito del proprio programma di sicurezza informatica dedicato alla scoperta di bug. Tale vicenda evidenzia ancora una volta quanto sia fondamentale il contributo della comunità di ricercatori. Quest’ultimi, infatti, possono contribuire attivamente nel garantire la sicurezza degli utenti su piattaforme di vasta scala. Aiutando così aziende come Google a risolvere problemi interni che possono compromettere la sicurezza degli account online degli utenti.
