Google corregge una vulnerabilità che esponeva i numeri di telefono degli utenti

Google e la Vulnerabilità che Esponeva i Numeri di Telefono degli Utenti

La sicurezza degli account online rappresenta una delle principali sfide della nostra era digitale. Google, colosso mondiale dei servizi web, si è trovata recentemente al centro di una vicenda che ha coinvolto la privacy di miliardi di utenti: una vulnerabilità nel sistema di recupero account permetteva di scoprire il numero di telefono associato a qualsiasi profilo Google in pochi minuti. Analizziamo cosa è successo, i rischi concreti a cui si esponevano gli utenti, come la falla è stata risolta e quali sono le best practice per proteggersi da simili minacce.

Cos’è successo: la scoperta della vulnerabilità

A inizio giugno 2025, un ricercatore indipendente noto come BruteCat ha scoperto una falla nel sistema di recupero account di Google che, se opportunamente sfruttata, consentiva a chiunque di risalire al numero di telefono di recupero legato a un qualsiasi account Google. Bastava conoscere l’indirizzo email e il nome del profilo della vittima o, in alternativa, ottenere la parte mascherata del numero (ad esempio +39••••••••12). La parte più critica? Il numero di telefono di recupero coincide quasi sempre con il numero principale, cioè quello realmente usato dall’utente per accedere ai servizi Google.

Il “trucco” sfruttava una versione ormai obsoleta del modulo di recupero password, pensata per utenti con JavaScript disabilitato, che però non prevedeva le moderne barriere anti-abuso implementate negli altri endpoint. Questo modulo, non più aggiornato, consentiva di inviare moltissime richieste senza subire limitazioni, rendendo possibile un attacco automatizzato di brute-force.

Come funzionava l’attacco nel dettaglio

L’attacco era suddiviso in vari passaggi concatenati, ciascuno sfruttando una debolezza specifica:

1. Raccolta informazioni preliminari: L’attaccante recuperava il nome completo del profilo Google della vittima e il frammento di numero mostrato nella schermata di recupero password (es. +39••••••••12).
2. Bypass dei limiti: Grazie alla mancanza di anti-botting e rate limit sull’endpoint vulnerabile, il malintenzionato poteva testare migliaia di combinazioni al secondo.
3. Automazione del brute-force: Utilizzando un semplice script e server economici (anche da pochi centesimi l’ora), era possibile testare ogni possibile combinazione dei numeri rimanenti in pochi minuti. Ad esempio, bastavano circa 20 minuti per indovinare il numero statunitense di una vittima, meno di 15 secondi per combinazioni più semplici come quelle dei numeri olandesi.
4. Validazione automatica: Grazie a librerie pubbliche per la validazione dei numeri di telefono, come “libphonenumber”, l’attacco poteva essere ottimizzato riducendo le richieste inviate a Google solo alle combinazioni plausibili.

In sintesi, chiunque fosse dotato delle giuste competenze tecniche poteva automatizzare l’intero processo e deanonimizzare rapidamente il numero privato degli utenti Google.

Quali rischi comporta questa vulnerabilità per gli utenti?

L’esposizione del numero di telefono principale di un account Google comporta rischi di sicurezza e privacy molto seri:

• Phishing mirato: Un malintenzionato può progettare attacchi di phishing SMS su misura, avendo sia il numero di telefono che l’email della vittima.
• SIM swapping: Sfruttando queste informazioni, è molto più facile orchestrare attacchi di swap della SIM, con la possibilità di prendere il controllo di ulteriori account personali.
• Spam e doxing: Il numero di telefono privato, se diffuso online o venduto, può essere usato per attività di spam, truffe o campagne di diffamazione personale.
• Accesso a servizi in due fattori: Molte piattaforme usano ancora l’SMS come secondo fattore di autenticazione; conoscere il numero associato aumenta il rischio di aggirare queste protezioni.

Come si è mossa Google: le tempistiche della correzione

Il ricercatore ha segnalato la vulnerabilità tramite il programma ufficiale di bug bounty di Google ad aprile 2025. Inizialmente, la gravità è stata sottostimata dall’azienda, che la considerava di basso impatto. Solo dopo ulteriori approfondimenti, e la dimostrazione della fattibilità e rapidità dell’attacco, la criticità è stata elevata a livello “medio” e sono partite le prime misure di mitigazione.

Il 6 giugno 2025 Google ha confermato di aver completamente disattivato l’endpoint vulnerabile, rendendo impossibile ripetere l’attacco. Al momento non ci sono prove pubbliche che la falla sia stata sfruttata attivamente su larga scala da cybercriminali. Tuttavia, la mancanza di controlli avanzati su alcuni vecchi flussi di recupero account mette in luce come grandi aziende siano sempre esposte a rischi, soprattutto su vecchie porzioni di infrastruttura dimenticate.

Come proteggersi: consigli pratici e suggerimenti di sicurezza

Per i singoli utenti:

• Aggiorna spesso la sicurezza dell’account: Controlla e aggiorna regolarmente i dati di recupero (telefono ed email). Cambia il numero in uno riservato, magari dedicato solo a recuperi account.
• Evita di usare il numero principale come recovery: Se possibile, imposta un numero dedicato alle procedure di recupero, diverso da quello usato per ricevere chiamate e messaggi quotidiani.
• Abilita l’autenticazione a due fattori (2FA) via app: Prediligi l’uso di app di autenticazione (Google Authenticator, Authy, ecc.) piuttosto che l’SMS.
• Controlla l’attività dell’account: Sfrutta i tool di Google (come “La mia attività” e “Sicurezza account”) per verificare accessi sospetti o cambiamenti non autorizzati.
• Non condividere il numero di telefono pubblicamente: Evita di associare il tuo numero Google a servizi, social o piattaforme pubbliche che potrebbero esporre questi dati.

Per le aziende:

• Effettua regolari penetration test: Le grandi piattaforme devono testare anche endpoint secondari o “legacy” spesso dimenticati nella routine di aggiornamento.
• Implementa controlli anti-abuso ovunque: Rate limit, anti-botting, CAPTCHA e validazioni sono fondamentali su qualunque modulo che gestisca dati sensibili.
• Prevedi processi di bug bounty efficaci: Riconoscere e premiare i ricercatori che segnalano vulnerabilità aiuta a individuare e correggere problemi prima dei criminali informatici.
• Aggiorna e depreca i vecchi flussi: È cruciale mappare, aggiornare o disattivare periodicamente i servizi e gli endpoint meno usati/dimenticati.

L’importanza della sicurezza proattiva

Questa vicenda sottolinea come la sicurezza informatica sia un processo costante di monitoraggio, aggiornamento e risposta. Anche realtà tecnologicamente avanzate come Google non sono immuni da errori o dimenticanze, specie su componenti legacy. La collaborazione con la community dei ricercatori è fondamentale per ridurre il gap tra scoperta e risoluzione delle vulnerabilità. La rapidità di reazione e trasparenza di comunicazione sono altrettanto cruciali per mantenere la fiducia degli utenti.

Per chiunque utilizzi servizi digitali, la consapevolezza rappresenta il primo strumento di difesa: conoscere i rischi, aggiornare regolarmente i propri dati di sicurezza e adottare approcci prudenti nella gestione delle informazioni personali permette di ridurre drasticamente le possibilità di offensiva da parte di cybercriminali.

La falla resa pubblica a giugno 2025 evidenzia che nemmeno le aziende più grandi possono abbassare la guardia in fatto di sicurezza. La rapidità di reazione di Google, una volta compreso il reale impatto, e la collaborazione con la comunità dei ricercatori hanno permesso di chiudere velocemente la breccia. Adesso spetta anche agli utenti migliorare la loro resilienza digitale, adottando buone pratiche e rimanendo aggiornati sulle principali minacce. La sicurezza, insomma, è il risultato di un impegno condiviso che coinvolge sia i provider che ogni singolo utente della rete.

Fonte: https://cybersecuritynews.com/google-vulnerability-leaks-user-phone-number