Uma vulnerabilidade de segurança identificada em junho de 2025 chamou a atenção para os riscos envolvidos no uso de sistemas de recuperação de contas online. O problema, relatado por um pesquisador conhecido como brutecat, envolvia o serviço de recuperação de contas do Google e permitia que terceiros descobrissem o número de telefone de usuários apenas com informações básicas, como o endereço do Gmail e o nome de exibição.
O método explorava uma falha no formulário de recuperação de contas do Google, especificamente na versão sem JavaScript. Por meio dessa brecha, era possível realizar tentativas automatizadas de adivinhação do número de telefone vinculado à conta, utilizando recursos computacionais mínimos e íveis. Esse tipo de ataque, conhecido como força bruta, expôs dados sensíveis de usuários em diferentes países, com tempos de exposição variando conforme o código de área.
Como a vulnerabilidade do Google permitia a descoberta de números de telefone?
A falha foi possível graças à combinação de duas informações: o nome de exibição do usuário e uma dica parcial do número de telefone, normalmente apresentada no processo de recuperação de senha. O pesquisador identificou que o Google Looker Studio, uma ferramenta de análise de dados, facilitava o o ao nome de exibição sem necessidade de interação da vítima. Com esses dados em mãos, o invasor podia automatizar tentativas de adivinhar o número completo.
Utilizando um servidor de baixo custo, o pesquisador conseguiu realizar cerca de 40 mil tentativas por segundo. Em países como Holanda e Cingapura, o número de telefone completo podia ser descoberto em menos de 20 segundos. Já em locais como Reino Unido e Estados Unidos, o processo levava alguns minutos, mas ainda assim representava um risco significativo para a privacidade dos usuários.
Quais foram as consequências e a resposta do Google?
Após a divulgação da vulnerabilidade, o Google inicialmente avaliou o risco como baixo, oferecendo uma recompensa modesta ao pesquisador. No entanto, após uma reavaliação, a empresa reconheceu a gravidade do problema e aumentou o valor da recompensa. Como medida corretiva, o Google descontinuou o formulário de recuperação de nome de usuário sem JavaScript, eliminando o caminho utilizado para o ataque.
- Exposição de dados: Usuários de diferentes países tiveram seus números de telefone potencialmente expostos.
- Recompensa ao pesquisador: O valor pago pelo Google foi ajustado após reconhecimento do risco.
- Correção da falha: O formulário vulnerável foi removido para impedir novas explorações.
Como se proteger de ataques semelhantes no futuro?
Embora o Google tenha corrigido essa vulnerabilidade específica, casos semelhantes podem ocorrer em outros serviços digitais. Algumas medidas recomendadas para aumentar a segurança das contas incluem:
- Utilizar autenticação em duas etapas sempre que possível.
- Evitar reutilizar senhas em diferentes plataformas.
- Manter informações pessoais, como número de telefone, restritas apenas a serviços confiáveis.
- Ficar atento às notificações de tentativas de recuperação de conta não solicitadas.
O episódio reforça a importância de práticas rigorosas de segurança digital tanto por parte dos usuários quanto das empresas responsáveis por grandes plataformas. A exposição de dados sensíveis, como números de telefone, pode ter impactos significativos, incluindo riscos de golpes e invasão de privacidade. A atenção constante a possíveis vulnerabilidades e a rápida resposta a incidentes são essenciais para proteger as informações dos usuários em um ambiente digital cada vez mais dinâmico.
