Imagine descobrir o número de telefone de qualquer pessoa apenas sabendo o nome do perfil dela no Google. Parece mentira do seu primo que diz que é hacker, mas essa vulnerabilidade existiu de verdade – e foi explorada por um pesquisador de segurança antes de ser corrigida. O pior? O método era assustadoramente simples.
O pesquisador BruteCat descobriu que uma versão antiga do formulário de recuperação de conta do Google – aquela que funciona sem JavaScript – não possuía as proteções modernas contra abuso. Esse formulário permitia verificar se um número de telefone estava vinculado a uma conta Google apenas fornecendo o nome de exibição do perfil (aquele que aparece no Gmail, por exemplo).
O truque estava em combinar três elementos:
- Um nome de perfil;
- Dois dígitos do número de telefone (revelados no fluxo de recuperação de conta);
- Um token válido do sistema BotGuard do Google (capturado de outro formulário).
Com essas peças, era possível automatizar tentativas em massa até descobrir o número completo – tudo em questão de minutos.
O que tornava essa falha particularmente preocupante era a facilidade com que podia ser escalada. Usando rotação de endereços IPv6, um atacante podia gerar trilhões de IPs diferentes, contornando completamente os limites de taxa que normalmente impediriam esse tipo de abuso.
Os números são impressionantes:
- Estados Unidos: ~20 minutos para descobrir um número
- Reino Unido: ~4 minutos
- Holanda: menos de 15 segundos
O número obtido era quase sempre o número principal vinculado à conta Google, não apenas um de recuperação. Isso abria portas para ataques ainda mais graves como SIM swapping e phishing direcionado.
A resposta do Google
BruteCat reportou a vulnerabilidade ao Google em abril de 2025 através do programa de recompensas por bugs. Inicialmente, a empresa classificou o risco como baixo, mas após análise mais aprofundada, reconheceu a gravidade do problema. Em maio deste ano, implementou mitigações temporárias, após um mês removeu completamente o endpoint vulnerável e pagou US$ 5000 ao pesquisador pela descoberta.
Esse caso serve como alerta sobre como sistemas legados podem se tornar pontos cegos de segurança. Também destaca um dilema moderno: a conveniência de vincular números de telefone a contas online versus os riscos de segurança que isso cria. Em um mundo onde o número de celular virou praticamente um segundo CPF digital, falhas como essa são especialmente perigosas.
A boa notícia é que o problema foi corrigido. A má notícia? Nunca saberemos se alguém explorou essa vulnerabilidade antes dela ser descoberta. Esta notícia reforça a importância de usar autenticação de dois fatores sem SMS, ser cauteloso com quais informações vinculamos a contas online e manter-se informado sobre ameaças de segurança digital.Confira algumas dicas fundamentais de segurança digital que selecionamos!
