Blog

Falha no Google permitia descobrir números de telefone associados a contas

Escrito por LC Security | 10/06/2025 16:11:06

Um pesquisador descobriu recentemente uma falha no processo de recuperação de conta do Google que permitia revelar o número de telefone usado como meio de recuperação. A exploração ocorria em um formulário antigo e sem proteções contra abuso. O Google corrigiu o erro em 6 de junho de 2025 

A vulnerabilidade afetava um formulário desativado para usuários sem JavaScript, usado para recuperação de nome de usuário no site do Google. Esse formulário não contava com captchas ou limites de uso, permitindo que atacantes tentassem combinações de números rapidamente .

O processo de exploração tinha três etapas:

  1. Obter o nome completo do titular da conta usando uma técnica com Looker Studio.

  2. Iniciar o fluxo de “esqueci a senha” para ver parte do telefone (últimos dois dígitos mascarados).

  3. Realizar um ataque de força bruta no formulário de recuperação de nome de usuário até descobrir o número completo 

Segundos eram suficientes para contas com números curtos (como em Singapura); já números nos EUA demoravam cerca de 20 minutos . Uma vez com o número em mãos, um invasor poderia realizar troca de SIM (SIM swap) e assumir controle da conta Google e outros serviços vinculados.

Após a divulgação responsável, em 14 de abril de 2025, o Google removeu a versão vulnerável do formulário e pagou uma recompensa de US$ 5 000 ao pesquisador 

Dica de prevenção:

  • Verifique se seus métodos de recuperação de conta no Google estão atualizados.

  • Ative opções mais seguras, como chaves de segurança física (FIDO) ou apps autenticadores em vez de simples SMS.

  • Monitore sua conta com alertas e exclusão de métodos antigos.


A falha mostrou que processos antigos e sem proteção ativa ainda podem expor informações muito sensíveis como número de telefone, abrindo caminho para ataques sofisticados. Por isso, usar métodos de recuperação modernos e fortalecer autenticação é fundamental. Na LC SEC, ajudamos empresas e pessoas a identificar e corrigir vulnerabilidades como essa, melhor preparando você para riscos atuais. Saiba mais sobre nossos serviços.


👉 Conheça a LC SEC: lcsec.io
Visualizar publicação completa