Een kwetsbaarheid in het Google account herstelformulier maakt het mogelijk om te brute-forcen of een telefoonnnummer aan een Google-gebruiker is gekoppeld.
De exploit maakt gebruik van de IPv6-adressen en proxies om blokkades te omzeilen en telefoonnummers te brute-forcen.
Met JavaScript uitgeschakeld kan de botguard-token niet worden verhinderd, waardoor exploitatie mogelijk blijft.
De exploit gebruikt Looker Studio voor het ophalen van gebruikersnamen, wat de herstelflow vergemakkelijkt.
Door de Google API en een script wordt de efficiëntie van het brute-forcen verhoogd door gebruik te maken van telefoonnummermaskers.
De kwetsbaarheid was functioneel tot juni 2025, waarna het Google herstelformulier zonder JavaScript is uitgeschakeld.
Get notified when new stories are published for "🇳🇱 Hacker News Dutch"