Un ricercatore ha scoperto un bug inquietante su Google. Bastava conoscere l’email di qualcuno per scoprire il suo numero di telefono privato. E senza che la persona se ne accorgesse minimamente. Tutto questo in una ventina di minuti al massimo. Bi G ha risolto il problema dopo essere stata avvertita ad aprile, ma la vicenda fa riflettere su quanto possano essere vulnerabili i nostri dati personali.
Ricercatore scopre pericoloso bug su Google
Il ricercatore, che usa il nickname brutecat, ha sfruttato una combinazione di falle nel sistema di recupero account di Google. Il meccanismo era complesso ma efficace. Prima riusciva a ottenere il nome completo associato all’account target, poi aggirava le protezioni anti-bot che dovrebbero impedire spam di richieste di reset password.
Una volta bypassati questi controlli, poteva lanciare un attacco automatizzato che provava sistematicamente tutte le possibili combinazioni di numeri di telefono fino a trovare quello giusto. L’automazione era la chiave. Quello che a mano avrebbe richiesto giorni, il script lo completava in una ventina di minuti.
Per verificare l’efficacia dell’exploit, TechCrunch ha creato un nuovo account Google con un numero di telefono mai usato prima, poi ha fornito a brutecat solo l’indirizzo email. Il ricercatore è riuscito a scoprire il numero di telefono nel giro di poco tempo. “Bingo 🙂“, ha scritto il ricercatore quando ha inviato il numero corretto. Una dimostrazione che fa venire i brividi pensando a quante persone potrebbero aver subito questo tipo di attacco senza saperlo.
Perché questo bug è così pericoloso?
Conoscere il numero di telefono di recupero non è solo una violazione della privacy. Può essere l’anticamera di attacchi molto più gravi. Una volta che l’hacker ha il numero, può fare una cosa ancora peggiore: convincere l’operatore telefonico a trasferire quel numero sulla sua SIM card (SIM swapping).
A quel punto, è come se avesse il passe-partout della vita digitale di una persona. Può resettare la password di qualsiasi servizio semplicemente facendosi inviare i codici di verifica sul “suo” telefono. Email, Instagram, conto in banca, tutto quello che è protetto da quel numero diventa accessibile.
La risposta di Google
Google ha confermato di aver risolto il bug dopo la segnalazione di aprile. “Questo problema è stato risolto“, ha dichiarato la portavoce Kimberly Samra. “Abbiamo sempre sottolineato l’importanza di lavorare con la community di ricerca sulla sicurezza attraverso il nostro programma di ricompense per le vulnerabilità.” L’azienda ha anche precisato di non aver visto “collegamenti confermati e diretti a exploit in questo momento“, ciò vuol dire che il bug non è stato sfruttato su larga scala prima della correzione.
Però c’è un lato positivo in questa storia. Il sistema di Google per premiare chi trova i bug funziona davvero. Il ricercatore ha intascato 5.000 dollari per la segnalazione, e non è poco. Questi soldi spingono gli esperti di sicurezza a cercare i problemi per risolverli, invece di venderli al miglior offerente sul dark web.
Anche TechCrunch ha fatto la sua parte. Invece di pubblicare subito la notizia per fare scoop, ha aspettato che Google risolvesse il bug.
Ti potrebbe interessare
9 giu 2025