Le formulaire de récupération d'identifiant de Google permet de vérifier l'association d'un email de récupération ou d'un numéro de téléphone avec un nom d'affichage spécifique.
Il est possible d'utiliser une adresse IPv6 pour contourner la limite de requêtes et ainsi essayer de bruteforcer les numéros de téléphone associés à des comptes Google.
La méthode nécessite l'utilisation d'un jeton BotGuard généré par la version JS activée du formulaire de récupération d'identifiant.
Le processus automatisé permet de trouver des numéros de téléphone Google en bruteforçant les derniers chiffres grâce à des masques de numéro de téléphone donnés dans le flux de récupération de mot de passe.
Google a déployé des mesures d'atténuation et déprécié le formulaire de récupération d'identifiant sans JS suite à la divulgation de cette vulnérabilité.
Get notified when new stories are published for "🇫🇷 Hacker News Français"