Pesquisador expõe falha que revelava números de telefone de contas Google
Falha no Google permitia revelar números de telefone via ataque de força bruta. Vulnerabilidade corrigida após alerta de pesquisador.
Um pesquisador de cibersegurança, conhecido como Brutecat, descobriu uma falha que permitia acessar números de telefone vinculados a contas Google. A vulnerabilidade, explorada por um ataque de força bruta, expunha informações sensíveis, mas foi corrigida em maio de 2025 após ser reportada. O caso destaca os riscos de ataques de SIM swapping e reforça a importância de programas de recompensa por vulnerabilidades.
Como funcionava a falha?
A brecha estava em um formulário de recuperação de conta sem proteções robustas. Brutecat usou o sistema de recuperação de senha para obter dicas do número, como os dois últimos dígitos, e testou combinações até descobrir o número completo. Em testes, ele revelou números em minutos, dependendo do país.
Para entender de forma simples
Pense em um jogo de adivinhação onde você tenta descobrir um número com dicas. A falha no Google deixava hackers “chutarem” números de telefone cadastrados, testando várias combinações até acertar. Com o número, eles poderiam tentar roubar contas invadindo mensagens de texto.
Impacto para usuários
Números de telefone são alvos valiosos para hackers, que podem usá-los para acessar e-mails, contas bancárias ou redes sociais por meio de códigos enviados por SMS. Essa falha colocava milhões de usuários em risco, especialmente para ataques de SIM swapping, que redirecionam mensagens para criminosos.
Resposta do Google
Brutecat reportou a falha em abril, e o Google a corrigiu em maio, após classificá-la como risco médio. A empresa pagou US$ 5.000 ao pesquisador e desativou o formulário vulnerável em 6 de junho. Não há registros de que a brecha foi explorada por hackers antes da correção.
Por que isso importa?
O caso mostra como sistemas que usam números de telefone para segurança podem ser frágeis. Programas de recompensa, como o do Google, ajudam a encontrar essas falhas antes que causem danos. Para se proteger, prefira autenticação por aplicativos, como o Google Authenticator, e evite compartilhar seu número de telefone sem necessidade.
Com informações de Wired, 404 Media e TechCrunch.
