IT之家 6 月 10 日消息，網絡安全專家 BruteCat 報告新的安全漏洞，僅通過用戶的谷歌個人資料名稱和部分手機號碼，就能暴力破解出賬戶的恢復手機號碼。

BruteCat 發現了一個已被廢棄的無 JavaScript 版本的谷歌用戶名恢復表單，該表單缺乏現代防護機制。通過用戶的個人資料顯示名稱（如“John Smith”），攻擊者可通過兩個 POST 請求查詢與谷歌賬戶關聯的手機號碼。

BruteCat 利用 IPv6 地址輪轉技術，生成大量唯一 IP 地址，輕鬆繞過表單的簡單速率限制。同時，他通過替換參數和獲取有效 BotGuard 令牌，成功繞過 CAPTCHA 驗證。

最終，他開發出一款暴力破解工具“gpb”，能以每秒 40000 次請求的速度，快速破解手機號碼。例如，破解美國號碼僅需 20 分鐘，英國 4 分鐘，荷蘭不到 15 秒。

攻擊需先獲取目標的電子郵箱地址。儘管 Google 去年已將郵箱設爲隱藏，BruteCat 表示無需與目標互動，通過創建 Looker Studio 文檔並轉移所有權至目標 Gmail 地址，就能獲取目標的顯示名稱。

此外，利用 Google 賬戶恢復流程可顯示恢復號碼的部分數字（如 2 位），結合其他服務（如 PayPal）的密碼重置提示，可進一步縮小範圍。IT之家附上演示視頻如下：

BruteCat 於 2025 年 4 月 14 日通過 Google 漏洞獎勵計劃（VRP）報告此問題。Google 最初評估風險較低，但於 5 月 22 日將其升級爲“中等嚴重”，並支付研究員 5000 美元獎勵。

谷歌於 6 月 6 日確認已完全廢棄該漏洞端點，攻擊路徑不再可行，但是否曾被惡意利用尚不得而知。