Google อุดช่องโหว่ร้ายแรง เสี่ยงต่อข้อมูลเบอร์โทรศัพท์รั่วแล้ว

นักวิจัยด้านความปลอดภัยชื่อ BruteCat เปิดเผยถึงช่องโหว่ที่ร้ายแรงในระบบของ Google ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถทำการ brute-force หมายเลขโทรศัพท์ที่ใช้ในการกู้คืนบัญชี Google ได้ง่าย เพียงแค่รู้ชื่อโปรไฟล์ของผู้ใช้และหมายเลขโทรศัพท์บางส่วนที่สามารถดึงข้อมูลได้จากระบบของ Google เอง ช่องโหว่นี้เปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถโจมตีผู้ใช้ในรูปแบบของ Phishing และ SIM-Swapping ซึ่งเป็นภัยคุกคามด้านความปลอดภัยที่มีความเสี่ยงสูง

ช่องโหว่นี้เกี่ยวข้องกับฟอร์มการกู้คืนชื่อผู้ใช้ที่ Google เคยใช้ ซึ่งไม่รองรับการทำงานของ JavaScript และไม่มีการป้องกันในระดับที่ทันสมัย การโจมตีเริ่มต้นจากการใช้ฟอร์มนี้เพื่อตรวจสอบหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี Google โดยใช้ชื่อโปรไฟล์ของผู้ใช้ เช่น "John Smith" ผ่านคำขอ POST สองคำขอ โดยการโจมตีนี้ยังสามารถข้ามการจำกัดอัตราการโจมตีที่ตั้งไว้โดยการหมุนที่อยู่ IPv6 และใช้ BotGuard token จากฟอร์มที่รองรับ JavaScript เพื่อหลีกเลี่ยงการยืนยัน CAPTCHA

BruteCat ได้พัฒนาเครื่องมือ brute-forcing ที่สามารถทำการโจมตีด้วยความเร็วสูงถึง 40,000 คำขอในหนึ่งวินาที โดยสามารถทำการโจมตีหมายเลขโทรศัพท์ของผู้ใช้ในประเทศต่างๆ ได้ในเวลาอันสั้น เช่น ในสหรัฐอเมริกาจะใช้เวลาประมาณ 20 นาทีในการ brute-force หมายเลขโทรศัพท์

การโจมตีดังกล่าวยังไม่ต้องการการเข้าถึงข้อมูลของผู้ใช้มากนัก เพียงแค่มีอีเมลของเป้าหมายก็สามารถเริ่มโจมตีได้ โดย BruteCat สามารถดึงข้อมูลอีเมลจากการโอนสิทธิ์การเป็นเจ้าของเอกสารใน Looker Studio ซึ่งไม่ต้องมีการโต้ตอบกับผู้ใช้เลย

ความเสี่ยงจากช่องโหว่นี้สามารถทำให้หมายเลขโทรศัพท์ของผู้ใช้ถูกเปิดเผยออกมา และทำให้พวกเขาตกเป็นเป้าหมายของการโจมตีในรูปแบบต่างๆ เช่น การโจมตี Phishing หรือการโจมตี SIM-Swapping ซึ่งจะทำให้ผู้ใช้สูญเสียการเข้าถึงบัญชีและข้อมูลส่วนตัว

BruteCat ได้รายงานช่องโหว่นี้ให้ Google ทราบผ่านโครงการ Vulnerability Reward Program (VRP) เมื่อวันที่ 14 เมษายน 2025 โดยในช่วงแรก Google มองว่าเป็นช่องโหว่ที่มีความเสี่ยงต่ำ แต่ภายหลังในวันที่ 22 พฤษภาคม 2025 ได้ปรับสถานะความรุนแรงเป็นระดับกลางและได้แก้ไขช่องโหว่นี้อย่างสมบูรณ์ในวันที่ 6 มิถุนายน 2025 โดยการยกเลิกฟอร์มการกู้คืนที่ไม่มีการรองรับ JavaScript ที่มีช่องโหว่นี้