Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 17 Giugno 2025 08:50
Una vulnerabilità nel modulo di recupero del nome utente legacy di Google permetteva di indovinare il numero di telefono completo associato a un account, conoscendo solo il nome visualizzato e parte del numero. Questa falla aumentava notevolmente il rischio di attacchi mirati, dal phishing al furto di SIM card.
La vulnerabilità è stata scoperta da un ricercatore con lo pseudonimo di BruteCat, divenuto famoso in precedenza per essere riuscito a violare gli indirizzi email privati dei proprietari di account YouTube. Questa volta, ha trovato un modo per aggirare le restrizioni del modulo di recupero del nome utente di Google, progettato per browser senza supporto JavaScript. A differenza della versione attuale, il vecchio modulo non includeva meccanismi moderni di protezione contro le azioni automatiche e rimaneva accessibile alle richieste.
BruteCat notò che il modulo gli permetteva di scoprire se un determinato numero di telefono fosse associato a un account Google specifico, conoscendo il nome del profilo e parte del numero. Iniziò a inviare richieste POST, sostituendo diverse combinazioni, e riuscì ad aggirare con successo la limitazione di base sul numero di tentativi. Per riuscirci, utilizzò la rotazione scalabile degli indirizzi IPv6: grazie alle subnet /64, era possibile generare un numero virtualmente infinito di IP univoci senza attivare blocchi.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il ricercatore ha anche trovato un modo per aggirare la protezione CAPTCHA assegnando un token BotGuard valido, ottenuto dalla versione JavaScript dello stesso modulo, al parametro “bgresponse=js_disabled”. Ha estratto questo token automaticamente utilizzando il browser Chrome headless, scrivendo uno script separato per la generazione.
Queste tecniche sono state utilizzate per creare uno strumento chiamato gpb, che ha forzato in brute force i numeri di telefono rispetto a pattern specifici di diversi paesi, utilizzando la libreria libphonenumber di Google stessa e un database predefinito di maschere. A una velocità di 40.000 query al secondo, ci sono voluti circa 20 minuti per trovare un numero completo negli Stati Uniti, 4 minuti nel Regno Unito e meno di 15 secondi nei Paesi Bassi.
Per avviare l’attacco, era necessario conoscere l’indirizzo email della vittima, ma BruteCat ha aggirato anche questo ostacolo. Ha creato un documento in Looker Studio e ha trasferito la proprietà dell’account della vittima.
Non restava che specificare il numero, e qui entrarono in gioco altri servizi. Ad esempio, quando si cerca di reimpostare una password su PayPal, si possono vedere più cifre di un numero di telefono di quante ne mostri Google: questo era sufficiente per restringere l’intervallo di valori possibili. Quindi BruteCat ha raccolto i numeri completi associati agli account e, secondo lui, nella stragrande maggioranza dei casi si trattava dei numeri di telefono principali dei proprietari.
I dati ottenuti hanno dato al ricercatore di sicurezza l’opportunità di effettuare attacchi mirati, dall’ingegneria sociale al furto di un numero di telefono tramite più operatori. Questo approccio è diventato particolarmente pericoloso se combinato con e-mail e altre fughe di notizie precedentemente divulgate.
Il ricercatore ha segnalato la vulnerabilità a Google il 14 aprile 2025. Inizialmente, l’azienda ha valutato il rischio come basso, ma un mese dopo, il 22 maggio, ha aumentato il livello di minaccia a medio e ha implementato misure di mitigazione temporanee. BruteCat ha ricevuto una ricompensa di 5.000 dollari per la sua ricerca.
Il 6 giugno, Google ha disattivato completamente la vulnerabilità, rendendo impossibile qualsiasi ulteriore sfruttamento. Tuttavia, non è ancora noto se questa tecnica sia stata utilizzata da qualcuno prima che la vulnerabilità venisse ufficialmente chiusa.
RedazioneCisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
Una vulnerabilità critica associata all’esecuzione di codice remoto (RCE) in Outlook è stata sanata da Microsoft, potenzialmente consentendo a malintenzionati di attivare codice dannoso su sistemi...
Il mondo della tecnologia quantistica ha compiuto un balzo in avanti impressionante: QuantWare ha presentato il primo processore al mondo da 10.000 qubit, 100 volte più di qualsiasi dispositivo esist...
