In breve:
Un ricercatore di sicurezza informatica (nickname "brutecat") ha scoperto una vulnerabilità che permetteva di ottenere il numero privato di recupero telefonico di quasi ogni account Google in meno di 20 minuti. Google ha confermato e risolto il problema dopo essere stata informata dal ricercatore ad aprile, riconoscendogli una ricompensa di 5.000 dollari. Prima di brutecat nessuno se ne era accorto quindi non ci sono vittime di attacchi.
Riassunto completo:
- Un esperto di sicurezza informatica ha scoperto un bug che consentiva di scoprire facilmente il numero di telefono privato associato a quasi qualsiasi account Google, senza che il proprietario ne fosse avvisato.
- La vulnerabilità sfruttava un problema nella funzione di recupero account di Google, combinando più tecniche per individuare il numero telefonico associato all'account nel giro di appena 20 minuti o meno.
- Dopo essere stata informata ad aprile, Google ha risolto rapidamente la falla e non risultano casi di attacchi reali basati su questa vulnerabilità prima della correzione.
- Rivelare il numero telefonico privato di un account Google può facilitare gravi rischi informatici, come l’appropriazione indebita dell’account tramite attacchi di tipo "SIM swap", dove l’hacker prende il controllo del numero di telefono della vittima.
- Il ricercatore, noto con il nickname brutecat, ha ricevuto da Google una ricompensa di 5.000 dollari per aver segnalato tempestivamente la criticità.
Questo testo è un riassunto del seguente articolo (eng):
Google fixes bug that could reveal users’ private phone numbers | TechCrunch
The bug allowed a researcher to uncover recovery phone numbers of nearly any Google account.
Zack Whittaker
Alternativa in italiano:
Bug di Google, bastava un email per rubare il numero di telefono
Un ricercatore ha scoperto un grave bug su Google che permetteva di ottenere il numero di telefono associato a un’email in pochi minuti.
Tiziana Foglio
