Blog

Falha no Google permitia descobrir números de telefone

Escrito por LC Sec | 10/06/2025 16:11:06
Segurança da Informação

Falha no Google permitia descobrir números de telefone associados a contas

Um pesquisador descobriu uma falha no Google que permitia revelar números de telefone associados a contas. A vulnerabilidade foi corrigida em 6 de junho de 2025, após ser explorada através de um fo...

Navegação

O que é a falha de segurança no Google Como funciona Sinais de alerta / Como identificar O que fazer agora / Como se proteger Prevenção / Boas práticas Conclusão

Resumo rápido

Um pesquisador descobriu uma falha no Google que permitia revelar números de telefone associados a contas. A vulnerabilidade foi corrigida em 6 de junho de 2025, após ser explorada através de um formulário desativado. Medidas de segurança devem ser adotadas para evitar tais riscos.

Neste artigo você vai aprender:

  • O que é a falha de segurança no Google.
  • Como a exploração da falha era realizada.
  • Sinais de alerta para identificar vulnerabilidades semelhantes.
  • Medidas de proteção que podem ser adotadas.
  • Boas práticas para garantir a segurança das contas.

O que é a falha de segurança no Google

Um pesquisador descobriu recentemente uma falha no processo de recuperação de conta do Google que permitia revelar o número de telefone usado como meio de recuperação. A exploração ocorria em um formulário antigo e sem proteções contra abuso. O Google corrigiu o erro em 6 de junho de 2025.

Como funciona

A vulnerabilidade afetava um formulário desativado para usuários sem JavaScript, usado para recuperação de nome de usuário no site do Google. Esse formulário não contava com captchas ou limites de uso, permitindo que atacantes tentassem combinações de números rapidamente.

O processo de exploração tinha três etapas:

  1. Obter o nome completo do titular da conta usando uma técnica com Looker Studio.
  2. Iniciar o fluxo de “esqueci a senha” para ver parte do telefone (últimos dois dígitos mascarados).
  3. Realizar um ataque de força bruta no formulário de recuperação de nome de usuário até descobrir o número completo.

Sinais de alerta / Como identificar

Segundos eram suficientes para contas com números curtos (como em Singapura); já números nos EUA demoravam cerca de 20 minutos. Uma vez com o número em mãos, um invasor poderia realizar troca de SIM (SIM swap) e assumir controle da conta Google e outros serviços vinculados.

O que fazer agora / Como se proteger

Após a divulgação responsável, em 14 de abril de 2025, o Google removeu a versão vulnerável do formulário e pagou uma recompensa de US$ 5.000 ao pesquisador.

Prevenção / Boas práticas

Dica de prevenção:

  • Verifique se seus métodos de recuperação de conta no Google estão atualizados.
  • Ative opções mais seguras, como chaves de segurança física (FIDO) ou apps autenticadores em vez de simples SMS.
  • Monitore sua conta com alertas e exclusão de métodos antigos.

Conclusão

A falha mostrou que processos antigos e sem proteção ativa ainda podem expor informações muito sensíveis, como números de telefone, abrindo caminho para ataques sofisticados. Por isso, usar métodos de recuperação modernos e fortalecer a autenticação é fundamental.

Proteja sua conta com a LC Sec

Na LC Sec, ajudamos empresas e pessoas a identificar e corrigir vulnerabilidades como essa, melhor preparando você para riscos atuais. Saiba mais sobre nossos serviços.

Falar com especialista

👉 Conheça a LC SEC: lcsec.io
Visualizar publicação completa