"Google迅速に対応、プライベート回復電話番号が漏洩する脆弱性を修正"

Google、プライベート回復用電話番号漏洩につながるバグの修正を完了 セキュリティ研究者が発見した重大バグが、ユーザーのプライベート回復用電話番号を所有者に知らせることなく漏洩させる可能性があり、プライバシーとセキュリティのリスクを高めていました。この問題を指摘されたGoogleは4月にバグを修正し、利用者の安全を確保しました。 バグはGoogleアカウントの回復機能に存在し、特定の工程を組み合わせた「攻撃チェーン」によって悪用がありました。このチェーンには、ターゲットアカウントの表示名を漏洩させたり、パスワード再設定リクエストへのスパム行為を防ぐために設けられていたボット保護機能を回避するプロセスなどが含まれており、これらの操作が組み合わさることで、電話番号の全桁パターンを短時間に試すことが可能になりました。 具体的には、研究者がスクリプトを使用して自動化したこの攻撃方法により、20分以内で（電話番号の長さにもよりますが）、指定されたアカウントのプライベート回復用電話番号を得られることが確認されました。TechCrunchは新たに作成したGoogleアカウントのメールアドレスのみを提供し実験を行ったところ、間もなく brutecat から真偽を問わず正しい電話番号の返答を得たということです。 この情報を得ることで匿名でもあるGoogleアカウントでも標的になることが示されました。例えば、SIMカード乗っ取りといった高度なハッキング技術を使うことでアカウントの所有者が登録している電話番号を奪取でき、所有者に成り済ますためのパスワードをリセットするために送られるリセットコードを受け取れる可能性があります。 公の安全に対する懸念から、問題が解決されるまでこの情報を公開保留していましたが、現在は公開しています。 Googleはこのバグ報告によって5,000ドルのバグバウンティを支払いました。スポークスパーソンのKimberly Samraは、「脆弱性報奨プログラムを通じてセキュリティ研究コミュニティと協力することの大切さを常に強調しており、今回の研究者によるバグの報告に感謝します」「このような報告を通じて我々は早期に問題を見つけることができ、利用者のための対処を行うことが可能です」と述べ、Googleではこの問題に関して「現在のところ直接的な悪用を確認するリンクはありません」ことを補足しています。