揭开谷歌账号手机号之谜

一名网络安全研究人员发现了一种方法，可以访问任何Google账户关联的电话号码，这一漏洞被称为SIM交换者的机会，可能导致未经授权的账户访问。研究人员使用暴力破解方法，快速识别目标电话号码，尤其在美国和英国，破解时间极短。攻击者需要目标的Google显示名称，通过操纵文档名称来获取信息。Google已解决该问题，并感谢研究人员的贡献，强调与安全研究社区合作的重要性。该漏洞被评估为中风险，研究人员因其发现获得5000美元奖励。FBI建议公众不要公开分享电话号码，以保护个人和财务信息。

一名网络安全研究人员发现了一种访问任何 Google 帐户关联的电话号码的方法，这通常是私人和敏感的信息。该发现得到了研究人员、Google 和 404 Media 进行的测试的确认。虽然这个问题已经得到解决，但当时它构成了重大的隐私风险，甚至允许经验较少的黑客潜在地访问个人信息。

这位独立的安全研究人员，使用化名 brutecat，表达了对该漏洞的担忧，称其为 SIM 交换者的重要机会。这些黑客可以控制目标的电话号码，从而拦截电话和信息，这可能导致未经授权访问各种账户。在四月中旬，我们向 brutecat 提供了一个个人 Gmail 地址，以演示该漏洞。大约六小时后，brutecat 返回了关联的电话号码。

Brutecat 解释说，他们的过程涉及一种暴力破解方法，他们系统地尝试数字组合以找到正确的电话号码。他们指出，在美国，通常需要大约一个小时，而在英国可能仅需八分钟，有时在其他国家甚至少于一分钟。

在随其发现的视频中，brutecat 详细说明了攻击者需要目标的 Google 显示名称，这可以通过在 Google 的 Looker Studio 中转移文档所有权来获得。他们操纵文档的名称，使其过长，以确保目标不会收到更改通知。使用自定义代码，brutecat 向 Google 发起了一系列猜测，直到成功识别出电话号码。值得注意的是，受害者对此漏洞完全不知情。

Google 的一位发言人随后表示，问题已得到解决，强调该公司致力于通过其漏洞奖励计划与安全研究社区合作。他们感谢研究人员指出这一问题，这对维护用户安全至关重要。电话号码对于 SIM 交换者来说至关重要，他们已知利用这些漏洞窃取在线身份或加密货币，有时甚至与来自东欧的勒索软件团伙合作，针对大型企业。FBI 建议个人不要公开分享他们的电话号码，以保护他们的个人和财务信息。为了表彰 brutecat 的发现，Google 奖励了他们 5000 美元和一些商品，最初将该漏洞评估为低风险，随后重新评估为中风险。