Seorang peneliti keamanan siber berhasil menemukan nomor telepon yang terkait dengan akun Google mana pun, informasi yang biasanya tidak publik dan seringkali sensitif, menurut peneliti tersebut, Google, dan tes yang dilakukan oleh 404 Media.
Masalah ini telah diperbaiki, tetapi sebelumnya menimbulkan masalah privasi di mana bahkan peretas dengan sumber daya terbatas bisa saja melakukan serangan brute force untuk mendapatkan informasi pribadi orang.
“Saya rasa eksploitasi ini cukup parah karena pada dasarnya ini adalah tambang emas bagi pelaku SIM swapping,” tulis peneliti keamanan independen yang menemukan masalah ini, menggunakan nama samaran brutecat, dalam email. Pelaku SIM swapping adalah peretas yang mengambil alih nomor telepon target untuk menerima panggilan dan pesan mereka, yang akhirnya memungkinkan mereka membobol berbagai jenis akun.
Pertengahan April lalu, kami memberikan brutecat salah satu alamat Gmail pribadi kami untuk menguji kerentanan ini. Sekitar enam jam kemudian, brutecat membalas dengan nomor telepon yang benar dan lengkap terkait akun tersebut.
“Pada dasarnya, ini adalah brute forcing nomor,” ujar brutecat tentang prosesnya. Brute forcing adalah ketika peretas mencoba berbagai kombinasi angka atau karakter dengan cepat hingga menemukan yang mereka cari. Biasanya ini dilakukan untuk menemukan kata sandi seseorang, tetapi di sini brutecat melakukan hal serupa untuk menentukan nomor telepon pengguna Google.
Brutecat mengatakan dalam email bahwa brute forcing membutuhkan waktu sekitar satu jam untuk nomor AS, atau 8 menit untuk nomor Inggris. Untuk negara lain, bisa kurang dari satu menit, katanya.
Dalam video yang mendemonstrasikan eksploitasi ini, brutecat menjelaskan bahwa penyerang membutuhkan nama tampilan Google target. Mereka menemukannya dengan mentransfer kepemilikan dokumen dari produk Looker Studio Google ke target, kata video tersebut. Mereka mengubah nama dokumen menjadi jutaan karakter, sehingga target tidak menerima notifikasi perubahan kepemilikan. Dengan kode khusus, yang mereka jelaskan lebih rinci dalam tulisan mereka, brutecat kemudian membombardir Google dengan tebakan nomor telepon hingga mendapatkan kecocokan.
“Korban sama sekali tidak diberi tahu :)” tertulis dalam keterangan video.
Juru bicara Google mengatakan kepada 404 Media dalam pernyataan, “Masalah ini telah diperbaiki. Kami selalu menekankan pentingnya bekerja sama dengan komunitas penelitian keamanan melalui program hadiah kerentanan kami, dan kami berterima kasih kepada peneliti yang melaporkan masalah ini. Masukan dari peneliti seperti ini adalah salah satu cara kami dapat dengan cepat menemukan dan memperbaiki masalah demi keamanan pengguna kami.”
Nomor telepon adalah informasi kunci bagi pelaku SIM swapping. Jenis peretas ini telah dikaitkan dengan banyak peretasan terhadap individu untuk mencuri nama pengguna online atau kripto. Namun, pelaku SIM swapping yang canggih juga beralih ke target perusahaan besar. Beberapa bahkan bekerja langsung dengan kelompok ransomware dari Eropa Timur.
Dengan nomor telepon, pelaku SIM swapping dapat menyamar sebagai korban dan meyakinkan operator telekomunikasi untuk mengalihkan pesan teks ke kartu SIM yang mereka kendalikan. Dari situ, peretas dapat meminta pesan reset kata sandi atau kode autentikasi multi-faktor, lalu masuk ke akun-akun berharga korban. Ini bisa mencakup akun penyimpanan kripto, atau lebih berbahaya lagi, email mereka, yang dapat membuka akses ke banyak akun lain.
Di situsnya, FBI merekomendasikan agar orang tidak mempublikasikan nomor telepon mereka karena alasan ini. “Lindungi informasi pribadi dan keuangan Anda. Jangan memamerkan nomor telepon, alamat, atau aset keuangan, termasuk kepemilikan atau investasi kripto, di situs media sosial,” tertulis di situs tersebut.
Dalam tulisannya, brutecat mengatakan Google memberikan hadiah $5.000 dan beberapa merchandise atas temuan mereka. Awalnya, Google menilai kerentanan ini memiliki kemungkinan eksploitasi rendah. Perusahaan kemudian meningkatkan kemungkinannya menjadi sedang, menurut tulisan brutecat.