구글 사용자 전화번호 유출 공격 분석

연구원은 자바스크립트를 비활성화한 상태에서도 구글의 사용자명 복구 양식이 작동하며 이는 기계적 접근 가능성을 남겨둔다고 발견했습니다.

이 양식은 특정 구글 계정에 등록된 전화번호나 이메일을 브루트포스 공격으로 확인할 수 있는 기능을 제공합니다.

공격자는 IPv6 주소를 활용하여 중요한 제한을 피해 다른 사용자 정보에 접근할 수 있습니다.

이 공격은 구글에서 심각하게 받아들여져 보안 패널에서 총 $5,000의 보상금을 지급받았습니다.

구글은 이 취약점을 인정하고 조치를 취했으며, 미래의 유사한 공격을 방지하기 위한 변경을 진행했습니다.

Get notified when new stories are published for "🇰🇷 Hacker News 한국어"

No Sign-In needed. One-Click Subscribe.

•

연구원은 자바스크립트를 비활성화한 상태에서도 구글의 사용자명 복구 양식이 작동하며 이는 기계적 접근 가능성을 남겨둔다고 발견했습니다.

이 양식은 특정 구글 계정에 등록된 전화번호나 이메일을 브루트포스 공격으로 확인할 수 있는 기능을 제공합니다.

공격자는 IPv6 주소를 활용하여 중요한 제한을 피해 다른 사용자 정보에 접근할 수 있습니다.

이 공격은 구글에서 심각하게 받아들여져 보안 패널에서 총 $5,000의 보상금을 지급받았습니다.

구글은 이 취약점을 인정하고 조치를 취했으며, 미래의 유사한 공격을 방지하기 위한 변경을 진행했습니다.

Get notified when new stories are published for "🇰🇷 Hacker News 한국어"

No Sign-In needed. One-Click Subscribe.