Eine kürzlich aufgedeckte Sicherheitslücke in Googles Infrastruktur demonstriert eindrucksvoll, wie veraltete Systemkomponenten zu erheblichen Datenschutzrisiken führen können. Der Cybersecurity-Forscher BruteCat identifizierte eine kritische Schwachstelle, die es Angreifern ermöglichte, Telefonnummern nahezu beliebiger Google-Nutzer zu ermitteln. Diese Entdeckung verdeutlicht die anhaltenden Herausforderungen im Bereich der IT-Sicherheit, selbst bei technologieführenden Unternehmen.
Technische Analyse der Sicherheitslücke
Die Schwachstelle basierte auf einer veralteten Formularseite unter accounts.google.com/signin/usernamerecovery, die ohne JavaScript-Unterstützung operierte und moderne Schutzmaßnahmen gegen automatisierte Angriffe vermissen ließ. Ursprünglich war diese Seite zur Unterstützung von Nutzern bei der Verknüpfung von Backup-E-Mail-Adressen oder Telefonnummern mit Kontonamen konzipiert.
Die entscheidende Schwäche lag in der unzureichenden Rate-Limiting-Implementierung. BruteCat umging diese primitive Schutzfunktion durch systematische IPv6-Adress-Rotation, die Billionen einzigartiger IP-Adressen über /64-Subnetze generierte. Zur CAPTCHA-Umgehung nutzte der Forscher gültige BotGuard-Token, die aus JavaScript-unterstützten Formularen extrahiert und im Parameter bgresponse=js_disabled eingesetzt wurden.
Methodologie des automatisierten Angriffs
Der entwickelte Angriffsmechanismus demonstrierte beeindruckende technische Raffinesse. Das System integrierte Googles eigene libphonenumber-Bibliothek zur Generierung korrekter Telefonnummernformate verschiedener Länder. Ein spezialisiertes Skript erzeugte kontinuierlich neue BotGuard-Token mittels headless Chrome-Instanzen.
Die Effizienz des Brute-Force-Angriffs war bemerkenswert: Etwa 40.000 Anfragen pro Sekunde konnten verarbeitet werden. Die Angriffszeiten variierten erheblich je nach geografischer Region – während Telefonnummern in den Niederlanden binnen 15 Sekunden identifiziert werden konnten, benötigte derselbe Prozess in den USA etwa 20 Minuten.
Umgehung von Display-Name-Schutzmaßnahmen
Für zielgerichtete Angriffe war die Kenntnis des Display-Namens erforderlich. Obwohl Google 2023-2024 den Zugang zu diesen Informationen erheblich einschränkte, fand BruteCat einen cleveren Umgehungsweg über Looker Studio. Durch Erstellung eines Dokuments und Zuweisung der Zielbenutzer-E-Mail-Adresse als Eigentümer konnte der Angreifer ohne jegliche Nutzerinteraktion auf Display-Namen zugreifen.
Zur Präzisierung der Suche unter tausenden Konten mit identischen Namen nutzte der Forscher partielle Telefonnummern aus Googles Kontowiederherstellungsfunktion, die die letzten beiden Ziffern der hinterlegten Nummer preisgab.
Timeline der Schwachstellenbehebung
Die Meldung erfolgte im April 2024 über Googles Bug-Bounty-Programm. Zunächst stufte das Unternehmen das Risiko als gering ein, erhöhte jedoch am 22. Mai 2024 die Bewertung auf „mittel“ und implementierte temporäre Schutzmaßnahmen. BruteCat erhielt für seine Entdeckung eine Belohnung von 5.000 US-Dollar.
Am 6. Juni 2024 wurde die Schwachstelle durch vollständige Deaktivierung des JavaScript-freien Formulars behoben. Ob die Sicherheitslücke vor ihrer Schließung von Cyberkriminellen ausgenutzt wurde, bleibt unbekannt.
Dieser Vorfall unterstreicht die kritische Bedeutung kontinuierlicher Sicherheitsaudits veralteter Webkomponenten. Unternehmen müssen sicherstellen, dass alle Infrastrukturelemente moderne Sicherheitsmechanismen implementieren. Nutzer sollten Zwei-Faktor-Authentifizierung aktivieren und regelmäßig ihre Kontosicherheitseinstellungen überprüfen, um sich gegen ähnliche Angriffsvektoren zu schützen. Die Komplexität moderner IT-Systeme erfordert einen ganzheitlichen Sicherheitsansatz, der auch scheinbar unbedeutende Legacy-Komponenten einbezieht.
