Im Juni 2025 wurde eine Sicherheitslücke in Googles Kontowiederherstellungsformular entdeckt, die das Bruteforcing von Telefonnummern ermöglichte.
Durch Deaktivierung von Javascript wurde festgestellt, dass das Benutzername-Wiederherstellungsformular funktionierte und zur Überprüfung von Telefonnummern verwendet werden konnte.
IPv6-Adressen wurden genutzt, um Ratenbegrenzungsmaßnahmen zu umgehen, was theoretisch Millionen von Anfragen ermöglichte.
Die Sicherheitslücke erlaubte, den BotGuard-Token von der JS-fähigen Version für Anfragen ohne JS zu verwenden, wodurch die Rate- und Captcha-Beschränkungen umgangen werden konnten.
Obwohl Google die Sicherheitslücke als Missbrauch mit geringer Wahrscheinlichkeit einstufte, gab es eine verspätete Erhöhung der Prämie, nachdem die Bedenklichkeit der Lücke klarer wurde.
Mithilfe von Looker Studio konnten Display-Namen der Benutzer geleakt werden, was die Ausnutzung weiter erleichterte.
Get notified when new stories are published for "🇩🇪 Hacker News Deutsch"