کمیته رکن چهارم – پژوهشگری با نام مستعار BruteCat آسیبپذیری خطرناکی در فرم قدیمی بازیابی حساب گوگل کشف کرده که به مهاجمان اجازه میداد تنها با داشتن نام کاربری و بخشی از شماره تلفن، به شماره کامل تلفن حسابهای گوگل دست یابند؛ موضوعی که میتوانست حملات فیشینگ و تعویض سیمکارت را تسهیل کند.
به گزارش کمیته رکن چهارم، این نقص امنیتی در نسخهای از فرم بازیابی نام کاربری گوگل کشف شد که در آن جاوااسکریپت غیرفعال بود و فاقد مکانیسمهای محافظتی جدید بود. BruteCat دریافت که این فرم همچنان فعال است و بهراحتی میتوان از آن سوءاستفاده کرد. با کمک نام نمایشی کاربر — که از طریق سندی در Looker Studio به دست میآید — و بخشی از شماره که از مراحل بازیابی یا سرویسهایی مانند PayPal قابل مشاهده است، مهاجم میتوانست شماره کامل را حدس بزند و با دو درخواست آن را تأیید کند.
BruteCat این آسیبپذیری را در ۱۴ آوریل ۲۰۲۵ به برنامه پاداش امنیتی گوگل گزارش کرد. ابتدا گوگل خطر آن را پایین ارزیابی کرد، اما در ۲۲ می آن را به سطح متوسط ارتقا داد و اقدامات موقت را اجرا کرد. نهایتاً در ۶ ژوئن اعلام شد که فرم آسیبپذیر بهطور کامل از دسترس خارج شده است.
مشخص نیست آیا این آسیبپذیری پیش از گزارش رسمی مورد سوءاستفاده قرار گرفته یا خیر، اما کارشناسان هشدار میدهند که نشت شماره تلفن میتواند کاربران را در برابر مهندسی اجتماعی آسیبپذیرتر کند.
