Szerző: telefonszam-tudakozo.hu
Dátum: 2025-06-13 12:00:00
Olvasási idő: 7 perc
Kategória: tudakozó
Egy meglepő hiba nyomában
2025 áprilisában egy biztonsági kutató egy olyan hibára bukkant a Google rendszerében, amely révén pusztán egy e-mail cím birtokában megszerezhetővé vált a hozzá rendelt telefonszám. Ez az apró információ elsőre talán nem tűnik vészesnek, de megfelelő technikai ismeretek birtokában elegendő volt ahhoz, hogy a támadók potenciálisan átvegyék az áldozat Google fiókja felett az irányítást. A kutató, aki "brutecat" néven ismert, részletesen dokumentálta a hibát, amelyet szerencsére a Google gyorsan javított. De vajon hogyan is működött ez a támadási módszer?Az első lépés: az e-mail cím megszerzése
A legtöbb ember e-mail címe nem titkos információ: ott van a közösségi profilokon, különböző hírlevél-feliratkozásokban, vagy egyszerűen egy fórum hozzászólásban. A támadáshoz elegendő volt, ha valaki ismerte az áldozat Google-fókhoz kapcsolt e-mail címét. Ezzel a címmel a támadó kapcsolatba tudott lépni a Google helyreállítási rendszerével, amely a hibás működés miatt több információt adott ki, mint kellett volna.Név megjelenítése a Looker Studión keresztül
A támadási lánc fontos eleme volt a Looker Studio (korábban Google Data Studio) használata. Ez a szolgáltatás lehetővé teszi, hogy egy dokumentumot megosszunk egy e-mail címmel rendelkező személlyel. A trükk az volt, hogy ha a dokumentumot elküldték az áldozatnak, a Google rendszere automatikusan megmutatta a nevét annak, aki a címhez tartozó fókot birtokolta. Mivel a név nem volt titkosítva, ez az információ hasznos volt a támadás további finomhangolásához.A Google helyreállító oldal hibája
A kulcselem egy elavult, JavaScript nélküli fókhelyreállító oldal volt. Ez az oldal nem tartalmazta a modern védelmi mechanizmusokat, mint például a BotGuard vagy az IP-alapú forgalomkorlátozás. Emiatt a támadó viszonylag akadálytalanul küldhetett több ezer kérést az oldalra anélkül, hogy letiltották volna.A telefonszám utolsó számjegyei
A helyreállítási folyamat részeként a Google megmutatta a fókhoz kapcsolt telefonszám utolsó két számjegyét. Ez apróságnak tűnik, de a megfelelő technikával ez is komoly fegyver lehet. Ha a támadó ismerte a név, ország és a telefonszám végét, akkor drasztikusan leszűkíthette a lehetőséges számok körét.Brute-force technika alkalmazása
A támadók brute-force módszert alkalmaztak, vagyis végigpróbáltak minden lehetőséges számkombinációt. Ehhez használták a Google által is alkalmazott "libphonenumber" nevű könyvtárat, amellyel érvényes formátumú telefonszámokat lehet generálni. A támadó ezekkel bombázta a helyreállító oldalt, egészen addig, amíg a rendszer meg nem erősítette, hogy melyik a helyes szám.Hogyan kerülték meg a védelmi rendszereket?
Bár a Google BotGuard védelemmel próbálta kiszűrni az automatizált támadásokat, a hiba a JavaScript nélküli oldal használatával megkerülhető volt. A támadók továbbá IP-címeket forgattak (főleg IPv6 tartományokon), hogy ne érvényesüljenek az időalapú korlátozások.Mennyi idő alatt lehetett megszerezni a telefonszámot?
A támadás sikeressége országónként változott. A közlemények szerint Hollandiában ez 15 másodperc alatt, az Egyesült Királyságban 4 perc, az USA-ban pedig 20 perc alatt sikerrel járhatott. Ez rávilágít arra, milyen gyorsan tudták kihasználni a hibát.Mire lehet felhasználni egy megszerzett telefonszámot?
Ha valaki hozzáfér a Google-fókhoz tartozó telefonszámhoz, akkor megkísérelhet SIM-cserét kezdeményezni a mobilszolgáltatónál. Ezzel elérhető, hogy az SMS-ben küldött megerősítő kódok hozzá érkezzenek meg. Ez az úgynevezett SIM-swap támadás, amely lehetővé teszi, hogy a támadó belépjen az áldozat összes közösségi fókjába, banki rendszerébe vagy e-mail fókjába.A veszély nem csak hítelen embereket érint
Ez a támadási módszer különösen veszélyes lehet újíságírókra, politikusokra, aktivistákra és bármilyen személyre, akinek fontos az anonimitása. De a mindennapi felhasználók sincsenek biztonságban, hiszen egy feltört fókon keresztül csalók pénzt csalhatnak ki vagy kompromittálhatják a digitális identitást.Mit tett a Google a hiba kijavítására?
A Google a hibabejelentés után gyorsan reagált. Leállították a JavaScript nélküli helyreállító oldalt, megerősítették a BotGuard védelmet, és javították az adatkiadás logikáját. A felfedezőt, brutecat néven ismert kutatót 5000 dolláros hibabónuszban részesítették.A Google szerint nem éltek vissza vele
A Google kijelentette, hogy nincs bizonyított eset arra, hogy ezt a sebezhetőséget valódi támadásban használták volna ki. Ennek ellenére a lehetőség nyitva állt, és a biztonsági szakértők is elismerték: a hiba komoly kockázatot jelentett.Mit tehetünk mi, felhasználók?
Első lépésként érdemes letiltani az SMS-alapú kétlépcsős azonosítást és helyette alkalmazás alapú hitelesítőt (pl. Google Authenticator, Microsoft Authenticator) használni. Emellett kerüljük, hogy nyilvános helyeken vagy közösségi oldalakon közzétegyük telefonszámunkat.Következtetés: az adataink védelme sosem lehet tökéletes
A digitális világban nincs olyan, hogy teljes biztonság. Egy egyszerű adat, mint a nevünk vagy telefonszámunk, ha rossz kezekbe kerül, komoly problémát okozhat. Ezért fontos, hogy tudatosan kezeljük adatainkat, frissítsük jelszavainkat, és mindenhol alkalmazzunk kétlépcsős védelmet.Tanulság: a legkisebb információ is veszélyes lehet
A Google hibája rámutatott arra, hogy még a világ egyik legnagyobb techvállalata is hibázhat. Egy apró figyelmetlenség, egy elavult weboldal, és máris milliók adatai kerülhetnek veszélybe. A jövőben még fontosabb lesz a folyamatos éberség és a digitális higiénia.Végül: ellenőrizd saját fókodat!
Lépj be a Google fókodra, ellenőrizd a biztonsági beállításokat, és végezd el a javasolt biztonsági ellenőrzéseket. Ha még nem tetted, állíts be erős jelszót és kapcsolj be kétlépcsős azonosítást. Ez lehet a legjobb védekezés az ilyen típusú támadások ellen.forrás: https://techcrunch.com/2025/06/09/google-fixes-bug-that-could-reveal-users-private-phone-numbers/