Уявіть, що хтось без вашого відома дізнається ваш номер телефону, а потім – і отримує доступ до вашої електронної пошти, банківських додатків або криптогаманця. Саме такий сценарій став можливим через уразливість у системі Google, яку нещодавно виявив незалежний дослідник кібербезпеки під псевдонімом brutecat.
Про проблему повідомило видання Wired, посилаючись на дані Google та журналістів 404 Media.
Звичайний номер – ключ до вашого цифрового життя
Телефонний номер часто здається чимось буденним, але насправді він – як пароль, який ви не змінюєте роками. І ось виявилося, що завдяки специфічній уразливості хакери могли його дізнатися, просто перебираючи цифри. Така атака називається brute force – тобто підбір варіантів, поки не знайдеться правильний.
Це відкривало двері для так званого SIM-swapping – коли зловмисник отримує нову SIM-карту з вашим номером. А далі – як по нотах: доступ до SMS, листів, двофакторної авторизації, а отже – до акаунтів, грошей, навіть криптовалюти.
Як саме це працювало
Головне, що потрібно було хакерам – знати ваше ім’я користувача в Google. Далі – техніка: зловмисник передавав жертві документ з Google Looker Studio, який та навіть не помічала. Потім – хитрий трюк із перейменуванням файлу та спеціальним кодом для підбору номера. Буквально за хвилини можна було вирахувати номер телефону користувача у Великій Британії. У США – трохи довше, але теж швидко: приблизно година.
Журналісти навіть протестували систему: передали brutecat тестову пошту, і вже за шість годин він точно назвав прив’язаний номер телефону.
Після повідомлення про вразливість компанія спершу оцінила її як “низькорівневу”, але згодом визнала ризик вищим – і швидко закрила діру. Brutecat отримав винагороду $5000 за допомогу через офіційну програму повідомлень про помилки безпеки.
Чому це важливо для кожного з нас
Навіть якщо ви не технар і не маєте криптогаманця, важливо розуміти: ваш номер телефону – не просто контакт. Це – “ключ”, яким можна відчинити багато цифрових дверей. А коли хтось отримує цей ключ – вже не ви вирішуєте, куди він зайде.
Що робити:
- Увімкніть двофакторну автентифікацію не через SMS, а через спеціальні додатки (наприклад, Google Authenticator).
- Не відкривайте документи, надіслані незнайомими контактами, навіть якщо вони виглядають “офіційно”.
- Перевіряйте, які пристрої мають доступ до вашого Google-акаунта.
- І головне – не ігноруйте цифрову безпеку: вона вже давно не тільки для айтішників.
