Google Account Recovery Vulnerability Revealed: Any User's Phone Number Could Be Leaked

A security researcher discovered a long-unnoticed vulnerability in the Google account recovery infrastructure. The phone number of any Google user can be leaked. açıkladı. Açık, Google’ın JavaScript devre dışı bırakıldığında da çalışan username recovery form üzerinden istismar edilebildi.

The researcher found that this form, which runs even when JavaScript is turned off, verifies whether a phone number matches a specific name-surname through specific HTTP requests.

Two-Step Verification Mechanism
In the first stage, a session key was generated with the phone number entered in the account recovery form.

Başlangıçta IP bazlı hız sınırlaması ve captcha engeliyle karşılaşan araştırmacı, BotGuard verification tokenHe stated that these obstacles were overcome by taking the form with JavaScript and integrating it into the form without JavaScript.

IPv6 and Large-Scale Trials
In the research, it was noted that by taking advantage of the width offered by IPv6 address spaces, a different IP was used for each request, thus speed limitations were neutralized.

Country Code and Name Information Could Also Be Detected
Telefon numarasının ülke kodu, Google’ın “şifremi unuttum” akışında gösterdiği maskeli numara formatları üzerinden belirlenebildi. Araştırmacı, bu formatların Google’ın kullandığı açık kaynaklı libphonenumber kütüphanesiyle birebir örtüştüğünü belirtti.

Kullanıcının ad ve soyad bilgisine ise Google Looker Studio üzerinden ulaşıldı. Araştırmacı, oluşturulan bir belgenin hedef kullanıcıya devredilmesiyle, the user's name is displayed on the home page without any interaction kaydetti.

“Possibility of Abuse Was Said Low, Reward Increased”
Açık, 14 Nisan 2025’te Google’a bildirildi. Google, ilk değerlendirmede istismar olasılığını düşük bularak sınırlı bir ödül verdi. Araştırmacının itirazı sonrası yapılan yeniden değerlendirmede ise etkinin yüksek olduğu kabul edilerek ödül toplam 5 thousand dollars seviyesine çıkarıldı.

Google, 22 Mayıs 2025 itibarıyla geçici önlemlerin devreye alındığını, 6 Haziran 2025’te ise Username recovery form without JavaScript is completely disabled doğruladı. Açık, 9 Haziran 2025’te kamuoyuna açıklandı.

Kaynak: Beykozun Sesi