Uma falha grave nos sistemas da Google permitiu, por meses, que invasores utilizassem força bruta para descobrir os números de telefone associados a contas da empresa. A vulnerabilidade, agora corrigida, representava um sério risco de segurança, facilitando ataques de phishing e troca de SIM — uma das formas mais perigosas de sequestro de identidade digital atualmente.
Google corrige falha crítica que expunha números de telefone de contas
Vulnerabilidade afetava formulário de recuperação sem JavaScript
A descoberta foi feita pelo pesquisador conhecido como BruteCat, o mesmo que já havia revelado falhas na privacidade dos e-mails do YouTube. Desta vez, ele explorou uma versão obsoleta do formulário de recuperação de nome de usuário da Google, acessível quando o JavaScript estava desabilitado.
Esse endpoint, sem as proteções modernas de segurança e mitigação de abusos, permitia que qualquer pessoa, munida de um nome de perfil e parte de um número de telefone, testasse bilhões de combinações até encontrar um número de telefone completo vinculado à conta.
Técnica usava rotação de IPs e manipulação de CAPTCHA
Para driblar os sistemas de limitação de requisições da Google, BruteCat usou rotação de endereços IPv6, criando trilhões de IPs únicos através de sub-redes /64. Isso permitia a realização de dezenas de milhares de requisições por segundo sem bloqueio efetivo.
Além disso, o pesquisador burlou os CAPTCHAs ao utilizar tokens válidos do BotGuard, extraídos de versões legítimas do formulário com JavaScript. Com isso, foi possível automatizar o processo de descoberta de números com uma ferramenta desenvolvida por ele chamada gpb, que integra a biblioteca libphonenumber do próprio Google para formatar os números corretamente.
Escopo global e alarmante velocidade
A ferramenta era extremamente eficiente. A força bruta para números dos Estados Unidos levava cerca de 20 minutos; para o Reino Unido, 4 minutos; e para a Holanda, menos de 15 segundos. Com esses dados, um invasor poderia identificar números completos associados a contas do Google, tornando seus donos vulneráveis a vishing (phishing por telefone) ou SIM swapping — técnica de clonagem de chips para sequestro de contas.
Para restringir os resultados e evitar falsos positivos, o ataque também utilizava partes do número exibidas em outros fluxos de redefinição de senha, como no PayPal, que mostra mais dígitos do que o Google.
Obtenção do e-mail do alvo via Looker Studio
Outro ponto sensível do ataque era a obtenção do e-mail da vítima, necessário para consultas mais precisas. BruteCat descobriu que, ao criar um documento no Looker Studio e transferir sua propriedade para o Gmail da vítima, era possível ver o nome de exibição da conta no painel de gerenciamento, mesmo sem interação do destinatário. Essa tática permitia refinar ainda mais os ataques.
Correção e recompensa do Google
O problema foi reportado ao Google em 14 de abril de 2025, via o programa oficial de recompensas de vulnerabilidades da empresa. Inicialmente considerado de baixo impacto, o bug teve sua gravidade elevada para “média” em 22 de maio de 2025, levando à aplicação de mitigações parciais e ao pagamento de US$ 5.000 (cerca de 27,8 mil) pela descoberta.
Finalmente, em 6 de junho de 2025, a empresa descontinuou completamente o endpoint vulnerável sem JavaScript, eliminando o vetor de ataque.
“O vetor de ataque não é mais explorável, mas não se sabe se ele já foi utilizado de forma maliciosa”, alerta o pesquisador.
Implicações para a segurança digital
A falha mostra como recursos legados e subutilizados podem se tornar brechas perigosas em sistemas amplamente utilizados. Ela também reforça a importância de testes constantes em todos os fluxos de autenticação e recuperação de contas, sobretudo em empresas que lidam com bilhões de usuários.
Além disso, revela como dados aparentemente inofensivos, como nomes de perfil e dígitos parciais de telefone, podem ser combinados para realizar ataques sofisticados com grande precisão e alcance.
Conclusão
A correção da falha representa uma vitória para a comunidade de segurança, mas o episódio serve de alerta para todos os usuários e desenvolvedores. Com o uso cada vez maior de dados pessoais como fator de autenticação, a proteção de canais de recuperação e autenticação secundária precisa ser tratada como prioridade. O trabalho de pesquisadores como BruteCat é crucial para garantir que essas vulnerabilidades sejam identificadas antes que sejam exploradas em larga escala.
