Google ปิดฟอร์ม Username Recovery หลังพบช่องโหว่ Brute-force

1. เริ่มต้นที่แฮกเกอร์มีอีเมลของเหยื่อ จะทำการหา Display Name ของเหยื่อโดยการใช้เครื่องมือ Looker Studio ของ Google โดยการสร้างเอกสารขึ้นมาแล้ว Transfer File Ownership ไปยังเหยื่อ ทำให้ Display Name ของเหยื่อแสดงออกมา
2. หลังจากนั้นแฮกเกอร์ทำการใส่อีเมลของเหยื่อและเลือก Forget Password ของ Google เพื่อหา Country Code และเบอร์โทรของเหยื่อว่าลงท้ายด้วยเลขอะไร ซึ่งจะเห็นเลข 2 ตัวสุดท้าย
3. สุดท้ายแฮกเกอร์จะเริ่มทำการโจมตี Brute-force เพื่อเดาตัวเลขที่เหลืออีก 6 หลัก โดยการส่ง HTTP POST Request ไปยัง Endpoint ของ Username Recovery เพื่อเช็คเบอร์โทรศัพท์ โดยจะสังเกตจาก Response ที่ระบบส่งกลับมา ถ้ามีการ Redirect ไปยัง URL /challenge จะแสดงว่าเป็นเบอร์ที่มีบัญชีอยู่จริง

ผลกระทบจากช่องโหว่

จากช่องโหว่ข้างต้นทำให้แฮกเกอร์สามารถหาหมายเลขโทรศัพท์ที่ผูกกับบัญชี Google ใดก็ได้ โดยไม่ต้องผ่านการ Authentication หรือ Authorization ใด ๆ และเมื่อแฮกเกอร์ได้เบอร์โทรที่เชื่อมกับบัญชี Google แล้ว แฮกเกอร์อาจใช้วิธี SIM Swapping เพื่อขโมยเบอร์และเข้ายึดบัญชี Google รวมถึงบัญชีอื่น ๆ ที่ใช้เบอร์นี้สำหรับ Authentication ได้อีกด้วย

คำแนะนำ

• หลีกเลี่ยงการเปิดเผยอีเมลและเบอร์โทรในที่สาธารณะ
• หมั่นตรวจสอบสิทธิ์การแชร์ไฟล์ Looker Studio เป็นประจำ และไม่รับหรือเปิดเอกสารจากผู้ที่ไม่รู้จัก
• เปิดใช้งาน Email/Push Notification สำหรับการเข้าถึง การเปลี่ยนเบอร์ หรือการร้องขอ recovery
• เปิดใช้งาน Multi-Factor Authentication (MFA) ในการเข้าสู่ระบบ

แหล่งอ้างอิง

https://thehackernews.com/2025/06/researcher-found-flaw-to-discover-phone.html

https://brutecat.com/articles/leaking-google-phones