Một lỗ hổng nghiêm trọng trong hệ thống khôi phục tài khoản của Google vừa bị phát hiện, cho phép kẻ tấn công xác định và thu thập số điện thoại của bất kỳ người dùng nào. Theo báo cáo từ nhóm nghiên cứu BruteCat, lỗ hổng này tồn tại trong biểu mẫu khôi phục tên người dùng phiên bản cũ của Google vốn hoạt động mà không cần JavaScript.
Khai thác lỗ hổng này, kẻ tấn công có thể kết hợp tên hiển thị của tài khoản Google – thu được thông qua các công cụ như Looker Studio – với đoạn gợi ý số điện thoại mà Google cung cấp trong quá trình “quên mật khẩu”. Từ đó, chúng sử dụng công cụ brute-force có tên “gpb” để thử hàng loạt kết hợp số điện thoại, đối chiếu với thông tin thu được nhằm xác định chính xác số của người dùng.
Cuộc tấn công được thực hiện với quy mô lớn mà vẫn vượt qua được các cơ chế giới hạn truy cập của Google nhờ kỹ thuật luân phiên địa chỉ IP sử dụng IPv6. Hơn nữa, các mã xác thực botguard vốn được tạo từ biểu mẫu có JavaScript lại có thể dùng lại cho phiên bản không có JavaScript, giúp kẻ tấn công bỏ qua captcha và tự động hóa toàn bộ quá trình.
Chỉ với một máy chủ chi phí 0,30 USD/giờ, nhà nghiên cứu có thể thực hiện tới 40.000 lần thử mỗi giây. Với tốc độ đó, số điện thoại ở một số quốc gia nhỏ như Singapore có thể bị truy ra chỉ trong vài giây, trong khi ở Mỹ, quá trình này mất khoảng 20 phút.
Google đã được cảnh báo vào giữa tháng 4/2025 và nhanh chóng tung ra các biện pháp khắc phục tạm thời, trước khi vô hiệu hóa hoàn toàn biểu mẫu cũ vào ngày 6/6/2025. Ban đầu, công ty trao thưởng 1.337 USD cho phát hiện này, nhưng sau khi có khiếu nại về mức độ nghiêm trọng và nguy hiểm của phương thức tấn công, mức thưởng được tăng lên 5.000 USD.
