-
09/04/2020
-
99
-
853 bài viết
Rò rỉ số điện thoại liên kết tài khoản Google: Nguy cơ bị lừa đảo và đánh cắp thông tin
Google vừa khắc phục một lỗ hổng nghiêm trọng cho phép tin tặc dò tìm số điện thoại liên kết với tài khoản Google mà chỉ cần biết tên hiển thị và một phần kí tự số điện thoại của nạn nhân. Lỗ hổng này tạo ra rủi ro lớn đối với các cuộc tấn công phishing (giả mạo) và hoán đổi SIM (SIM swapping).
Chuyên gia bảo mật BruteCat, người từng phát hiện cách tiết lộ email cá nhân của tài khoản YouTube vào tháng 2/2025 đã phát hiện ra lỗ hổng này. Theo BruteCat, số điện thoại khôi phục tài khoản thông thường cũng chính là thuê bao mà người dùng đang sử dụng.
Trong trường hợp này, chuyên gia đã khai thác một biểu mẫu khôi phục tài khoản cũ của Google, biểu mẫu này không yêu cầu JavaScript nên thiếu các biện pháp bảo vệ hiện đại. Để vượt qua giới hạn tốc độ kiểm tra của hệ thống, anh ta dùng kỹ thuật xoay địa chỉ IPv6, tạo ra hàng tỷ địa chỉ IP khác nhau từ một mạng con (/64 subnet).
Ngoài ra, hệ thống CAPTCHA cũng bị vượt qua bằng cách giả mạo tham số bgresponse=js_disabled, thay thế nó bằng một mã xác thực (BotGuard token) lấy từ biểu mẫu hiện đại có hỗ trợ JavaScript.
Sau khi thiết lập toàn bộ phương pháp, BruteCat đã viết ra một công cụ tên là gpb, cho phép tự động dò quét các số điện thoại theo định dạng đúng của từng quốc gia, loại bỏ các kết quả sai và đạt tốc độ kiểm tra lên tới 40.000 yêu cầu mỗi giây.
Ví dụ:
Chỉ cần tạo một tài liệu và chuyển quyền sở hữu tài liệu đó cho email của nạn nhân, tên hiển thị của người dùng sẽ tự động xuất hiện trong hệ thống của Looker Studio mà không cần sự đồng ý.
Tiếp theo, BruteCat dùng các thông tin có sẵn từ Google và cả những dịch vụ phổ biến khác như PayPal, nơi mà trong quy trình đặt lại mật khẩu có thể tiết lộ một phần số điện thoại (ví dụ: +14•••••1779). Dựa vào các dữ liệu rò rỉ để ghép lại chính xác số điện thoại của người dùng. Từ đó, kẻ tấn công có thể thực hiện các hành vi nguy hiểm như giả mạo cuộc gọi lừa đảo (vishing) hoặc hoán đổi SIM để chiếm đoạt tài khoản.
Đến ngày 06/06/2025, Google xác nhận rằng biểu mẫu khôi phục cũ không còn tồn tại và lỗ hổng này đã hoàn toàn được vá. Tuy nhiên cho đến nay, chưa có bằng chứng xác nhận rằng lỗ hổng này đã bị khai thác thực tế
Vụ việc là lời nhắc nhở mạnh mẽ về tầm quan trọng của bảo mật tài khoản Google và cảnh giác trước các cuộc tấn công lừa đảo tinh vi. Người dùng nên bật xác minh 2 bước và thường xuyên kiểm tra hoạt động bảo mật để bảo vệ thông tin cá nhân an toàn hơn.
Cách thức tấn công
Lỗ hổng xuất phát từ một phiên bản cũ của biểu mẫu khôi phục tên người dùng (username recovery form) khi JavaScript bị tắt - một tính năng vốn đã lỗi thời và thiếu các cơ chế chống lạm dụng hiện đại.Chuyên gia bảo mật BruteCat, người từng phát hiện cách tiết lộ email cá nhân của tài khoản YouTube vào tháng 2/2025 đã phát hiện ra lỗ hổng này. Theo BruteCat, số điện thoại khôi phục tài khoản thông thường cũng chính là thuê bao mà người dùng đang sử dụng.
Trong trường hợp này, chuyên gia đã khai thác một biểu mẫu khôi phục tài khoản cũ của Google, biểu mẫu này không yêu cầu JavaScript nên thiếu các biện pháp bảo vệ hiện đại. Để vượt qua giới hạn tốc độ kiểm tra của hệ thống, anh ta dùng kỹ thuật xoay địa chỉ IPv6, tạo ra hàng tỷ địa chỉ IP khác nhau từ một mạng con (/64 subnet).
Ngoài ra, hệ thống CAPTCHA cũng bị vượt qua bằng cách giả mạo tham số bgresponse=js_disabled, thay thế nó bằng một mã xác thực (BotGuard token) lấy từ biểu mẫu hiện đại có hỗ trợ JavaScript.
Sau khi thiết lập toàn bộ phương pháp, BruteCat đã viết ra một công cụ tên là gpb, cho phép tự động dò quét các số điện thoại theo định dạng đúng của từng quốc gia, loại bỏ các kết quả sai và đạt tốc độ kiểm tra lên tới 40.000 yêu cầu mỗi giây.
Ví dụ:
- Mỹ: 20 phút để quét toàn bộ
- Anh: 4 phút
- Hà Lan: chưa tới 15s
Cách lấy thông tin email và số điện thoại
Mặc dù Google hiện đã ẩn email trong biểu mẫu khôi phục, BruteCat vẫn tìm ra cách lách qua bằng một công cụ có tên Looker Studio - nền tảng tạo báo cáo và biểu đồ do chính Google phát triển.Chỉ cần tạo một tài liệu và chuyển quyền sở hữu tài liệu đó cho email của nạn nhân, tên hiển thị của người dùng sẽ tự động xuất hiện trong hệ thống của Looker Studio mà không cần sự đồng ý.
Tiếp theo, BruteCat dùng các thông tin có sẵn từ Google và cả những dịch vụ phổ biến khác như PayPal, nơi mà trong quy trình đặt lại mật khẩu có thể tiết lộ một phần số điện thoại (ví dụ: +14•••••1779). Dựa vào các dữ liệu rò rỉ để ghép lại chính xác số điện thoại của người dùng. Từ đó, kẻ tấn công có thể thực hiện các hành vi nguy hiểm như giả mạo cuộc gọi lừa đảo (vishing) hoặc hoán đổi SIM để chiếm đoạt tài khoản.
Google đã xử lý như nào?
Lỗ hổng này đã được báo cáo qua chương trình Vulnerability Reward Program (VRP) của Google vào ngày 14/04/2025. Ban đầu Google đánh giá mức độ rủi ro thấp, nhưng đến ngày 22/05/2025, vấn đề được nâng lên mức “trung bình” và Google đã triển khai biện pháp tạm thời, đồng thời trao thưởng 5.000 USD cho chuyên gia đã phát hiện.Đến ngày 06/06/2025, Google xác nhận rằng biểu mẫu khôi phục cũ không còn tồn tại và lỗ hổng này đã hoàn toàn được vá. Tuy nhiên cho đến nay, chưa có bằng chứng xác nhận rằng lỗ hổng này đã bị khai thác thực tế
Vụ việc là lời nhắc nhở mạnh mẽ về tầm quan trọng của bảo mật tài khoản Google và cảnh giác trước các cuộc tấn công lừa đảo tinh vi. Người dùng nên bật xác minh 2 bước và thường xuyên kiểm tra hoạt động bảo mật để bảo vệ thông tin cá nhân an toàn hơn.
Theo Bleeping Computer
Chỉnh sửa lần cuối: