Обнаружен уязвимый механизм в формах восстановления имени пользователя Google, позволяющий проверять номера телефонов, связанные с конкретным аккаунтом.
Использование IPv6 адресов позволяет обойти ограничения по количеству запросов и CAPTCHA-защиту.
Использование BotGuard токена из JavaScript формы позволяет обойти ограничения по количеству запросов.
Выявлены возможности для утечки имени пользователя Google через Looker Studio без взаимодействия с пользователем.
Процесс brute force для телефонных номеров существенно ускоряется благодаря использованию подсказок по формату номеров и конкретных масок.
Эксперимент показал, что процесс орудия для стран как Нидерланды может занять всего 15 секунд.
Get notified when new stories are published for "🇷🇺 Hacker News Русский"