Google solucionó una falla en la función de recuperación de cuentas de la compañía que permitía revelar los números de teléfono de los usuarios sin notificarle y facilitando a los ciberdelincuentes obtener información personal para fines maliciosos.
Así lo había advertido un investigador de seguridad independiente llamado Brutecat, quien notificó en abril pasado al gigante tecnológico que tal vulnerabilidad permitía obtener el número de teléfono de recuperación de la cuenta sin alertar al titular, incluyendo el nombre completo del propietario de la cuenta.
En su blog, el experto explicó que su investigación le permitió descubrir que el formulario de recuperación de nombre de usuario de Google continuaba funcionando incluso sin tener activo el lenguaje de codificación JavaScript en el dispositivo. Por tanto, se podía comprobar si un correo o número de teléfono estaba asociado con un nombre de usuario específico, utilizando direcciones IPv6 y manipulando el token de autenticación de la solución de protección contra ‘bots’ BotGuard desde el formulario JavaScript.
Igualmente, permitía filtrar el nombre de usuario específico a través del servicio para crear informes de Google, Looker Studio, señalaba Brutecat.
Ahora, en declaraciones a TechCrunch, la portavoz de Google, Kiberly Samra, aseguró que la compañía tecnológica corrigió este error en su formulario, por lo que ya no se puede extraer los teléfonos móviles desde la función de recuperación de cuentas.
