باحث أمني يكشف ثغرة خطيرة تسمح باكتشاف أرقام الهواتف المرتبطة بحسابات جوجل

قامت جوجل بإصلاح ثغرة أمنية خطيرة كانت تسمح للمهاجمين بـاكتشاف رقم الهاتف المرتبط بأي حساب جوجل عن طريق هجمات القوة الغاشمة (Brute-Force)، مما يعرض المستخدمين لخطر انتهاك الخصوصية والاختراق.

كيف كانت تعمل الثغرة؟

وفقًا للباحث الأمني السنغافوري “brutecat”، فإن الثغرة استغلت نقطة ضعف في وظيفة استعادة الحساب لدى جوجل، وتحديدًا في صفحة قديمة (غير مستخدمة الآن) تسمى “استعادة اسم المستخدم” ، والتي كانت تفتقر إلى أنظمة الحماية ضد الهجمات المكثفة مثل CAPTCHA.

كانت هذه الصفحة مصممة لمساعدة المستخدمين في التحقق مما إذا كان رقم هاتف أو بريد إلكتروني مرتبطًا باسم معين (مثل “John Smith”). لكن نظرًا لغياب آلية الحد من الطلبات، أصبح من الممكن:

تخمين رقم الهاتف كاملًا خلال ثوانٍ أو دقائق (حسب طول الرقم وبلد المنشأ).
استخراج الرمز الدولي للضحية عبر صفحة “نسيت كلمة المرور”.
الحصول على الاسم الكامل للمستخدم عن طريق إنشاء مستند في Looker Studio ونقل ملكيته إلى الضحية، مما يؤدي إلى كشف اسمه.

خطوات استغلال الثغرة بالتفصيل:

كشف الاسم المرتبط بالحساب عبر Looker Studio.
استخراج آخر رقمين من الهاتف عبر صفحة “نسيت كلمة المرور” .
هجوم القوة الغاشمة على صفحة استعادة اسم المستخدم لاكتشاف الرقم كاملًا.

وأوضح الباحث أنه كان يمكن كشف رقم هاتف سنغافوري في ٥ ثوانٍ فقط، بينما يستغرق رقم أمريكي حوالي ٢٠ دقيقة.

مخاطر كشف رقم الهاتف:

بمجرد حصول المهاجم على الرقم، يمكنه:

تنفيذ هجوم تبديل الشريحة (SIM-Swapping) للسيطرة على الحساب.
إعادة تعيين كلمة المرور لأي خدمة مرتبطة بنفس الرقم (مثل فيسبوك، تويتر، etc.).

استجابة جوجل:

بعد الإبلاغ المسؤول عن الثغرة في 14 أبريل 2025، قامت جوجل بما يلي:

منح الباحث مكافأة قدرها 5000دولار ضمن برنامج المكافآت الأمنية.
إزالة الصفحة القديمة نهائيًا في 6 يونيو 2925.

سجل الباحث في كشف ثغرات جوجل ويوتيوب

هذه ليست المرة الأولى التي يكشف فيها “brutecat” عن ثغرات خطيرة في خدمات جوجل:

ديسمبر 2024: كشف ثغرة في واجهة برمجة يوتيوب (API) تسمح باكتشاف بريد صاحب أي قناة، وحصل على 10000 دولار.
مارس 2025: اكتشف ثغرة في نظام YouTube Partner Program (YPP) تسمح بتعريف بريد صناع المحتوى، مما أدى إلى منحه 20000دولار.

وعلقت جوجل على إحدى هذه الثغرات قائلة: