IT之家于6月10日发布报道,安全专家近日公开指出,他们借助谷歌提供的“被忽视”的账户找回功能,成功实现了对若干用户谷歌账户手机号码的强制解锁。
据可靠消息,自2018年开始,谷歌便在其账户登录环节引入了一种基于特定技术的机器人识别系统,旨在遏制不法分子利用自动化工具执行的各类有害行为。
然而,他于年初在浏览器上关闭了某些功能,意图探究在未启用特定设置的情况下,谷歌的哪些服务仍能正常运作。出乎意料的是,他发现该平台的账号找回功能依然有效,并且这一服务是通过两个HTTP请求来实现的,用以核实用户提供的电子邮箱或手机号码是否与某个谷歌账号有所关联。
尽管谷歌尝试通过限制单个IP的访问次数、引入验证码等措施来阻止不法分子对服务进行攻击,然而,不法分子通过使用IPv6动态切换IP地址,并借助令牌技术,成功绕过了谷歌的限制。随后,他们编写了一款脚本,该脚本主要是通过模拟密码找回服务流程中展示的用户账号关联的手机号码范围提示,来进行大规模的暴力破解尝试。
谷歌设置的 验证码
根据测试数据,仅需投入每小时成本大约0.3美元的云服务器资源,便能够完成每秒4万次的暴力破解尝试。具体来看,破解一个美国电话号码大约耗时20分钟,英国号码大约4分钟,荷兰号码仅需15秒,而新加坡号码最快仅需5秒即可成功获取。
今年4月,他向谷歌提交了关于漏洞的报告,成功获得了5000美元的奖励,按照当前汇率计算,这笔奖励约合35926元人民币。值得一提的是,谷歌在同年6月已经对这一漏洞进行了修复。
本站蘑菇号已成立2年,主要围绕于海外ID领域的分享平台,提供全面的ID账号分享知识,包括海外appleid、美区id、海外id、全球ID分享等,能让海外ID账号知识简单易懂。欢迎关注及分享本站。
本文来自作者[树州号]投稿,不代表蘑菇号立场,如若转载,请注明出处:https://bbs.houniaohao.com/gequidfx/202507-1220.html
评论列表(3条)
我是蘑菇号的签约作者“树州号”
本文概览:IT之家 6 月 10 日消息,安全人员 BruteCat 昨日发文披露,他通过利用谷歌一项“被遗忘的”账号找回服务功能,成功暴力破解了部分用户的谷歌账号手机号码。 据悉...
文章不错《安全人员利用谷歌账号找回服务,暴力破解部分用户手机号?》内容很有帮助