Google อุดช่องโหว่ร้ายแรง เสี่ยงต่อข้อมูลเบอร์โทรศัพท์รั่วแล้ว

ฐานเศรษฐกิจ
12 มิ.ย. 2568 | 10:44 น.
อัปเดตล่าสุด :12 มิ.ย. 2568 | 10:49 น.

Google อุดช่องโหว่ด้านความปลอดภัยที่สำคัญ เสี่ยงข้อมูลเบอร์โทรศัพท์ที่ผูกกับบัญชีผู้ใช้รั่วไหลได้ จากการโจมตีแบบ Phishing และ SIM-Swapping ภายหลังถูกนักวิจัยด้านความปลอดภัย BruteCat ออกมาเปิดเผย

นักวิจัยด้านความปลอดภัยชื่อ BruteCat เปิดเผยถึงช่องโหว่ที่ร้ายแรงในระบบของ Google ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถทำการ brute-force หมายเลขโทรศัพท์ที่ใช้ในการกู้คืนบัญชี Google ได้ง่าย เพียงแค่รู้ชื่อโปรไฟล์ของผู้ใช้และหมายเลขโทรศัพท์บางส่วนที่สามารถดึงข้อมูลได้จากระบบของ Google เอง ช่องโหว่นี้เปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถโจมตีผู้ใช้ในรูปแบบของ Phishing และ SIM-Swapping ซึ่งเป็นภัยคุกคามด้านความปลอดภัยที่มีความเสี่ยงสูง

Google อุดช่องโหว่ร้ายแรง เสี่ยงต่อข้อมูลเบอร์โทรศัพท์รั่วแล้ว ช่องโหว่นี้เกี่ยวข้องกับฟอร์มการกู้คืนชื่อผู้ใช้ที่ Google เคยใช้ ซึ่งไม่รองรับการทำงานของ JavaScript และไม่มีการป้องกันในระดับที่ทันสมัย การโจมตีเริ่มต้นจากการใช้ฟอร์มนี้เพื่อตรวจสอบหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี Google โดยใช้ชื่อโปรไฟล์ของผู้ใช้ เช่น "John Smith" ผ่านคำขอ POST สองคำขอ โดยการโจมตีนี้ยังสามารถข้ามการจำกัดอัตราการโจมตีที่ตั้งไว้โดยการหมุนที่อยู่ IPv6 และใช้ BotGuard token จากฟอร์มที่รองรับ JavaScript เพื่อหลีกเลี่ยงการยืนยัน CAPTCHA

 

BruteCat ได้พัฒนาเครื่องมือ brute-forcing ที่สามารถทำการโจมตีด้วยความเร็วสูงถึง 40,000 คำขอในหนึ่งวินาที โดยสามารถทำการโจมตีหมายเลขโทรศัพท์ของผู้ใช้ในประเทศต่างๆ ได้ในเวลาอันสั้น เช่น ในสหรัฐอเมริกาจะใช้เวลาประมาณ 20 นาทีในการ brute-force หมายเลขโทรศัพท์

การโจมตีดังกล่าวยังไม่ต้องการการเข้าถึงข้อมูลของผู้ใช้มากนัก เพียงแค่มีอีเมลของเป้าหมายก็สามารถเริ่มโจมตีได้ โดย BruteCat สามารถดึงข้อมูลอีเมลจากการโอนสิทธิ์การเป็นเจ้าของเอกสารใน Looker Studio ซึ่งไม่ต้องมีการโต้ตอบกับผู้ใช้เลย

ความเสี่ยงจากช่องโหว่นี้สามารถทำให้หมายเลขโทรศัพท์ของผู้ใช้ถูกเปิดเผยออกมา และทำให้พวกเขาตกเป็นเป้าหมายของการโจมตีในรูปแบบต่างๆ เช่น การโจมตี Phishing หรือการโจมตี SIM-Swapping ซึ่งจะทำให้ผู้ใช้สูญเสียการเข้าถึงบัญชีและข้อมูลส่วนตัว

ข่าวที่เกี่ยวข้อง
8 เดือนที่แล้ว

จับตาค่าบริการดิจิทัล“เฟซบุ๊ก-กูเกิล”พุ่ง เซ่นพิษสงครามตอบโต้ภาษีสหรัฐ-จีน

7 เดือนที่แล้ว

ได้เวลา Update Insight จาก We are social พฤติกรรมด้าน Social ของคนไทยเป็นอย่างไรบ้างในตอนนี้ (จบ)

7 เดือนที่แล้ว

กทม.ร่วม Google ดึงพลัง AI เพิ่มประสิทธิภาพการให้สัญญาณไฟจราจร

7 เดือนที่แล้ว

พาณิชย์ ดึง Google ขยายลงทุน ฝากส่งสารถึงสหรัฐฯ พร้อมเจรจาภาษี

6 เดือนที่แล้ว

Google Gemini 2.5 ปลดล็อกพลัง AI ใน Chrome สู่บราวเซอร์คิดเองได้

BruteCat ได้รายงานช่องโหว่นี้ให้ Google ทราบผ่านโครงการ Vulnerability Reward Program (VRP) เมื่อวันที่ 14 เมษายน 2025 โดยในช่วงแรก Google มองว่าเป็นช่องโหว่ที่มีความเสี่ยงต่ำ แต่ภายหลังในวันที่ 22 พฤษภาคม 2025 ได้ปรับสถานะความรุนแรงเป็นระดับกลางและได้แก้ไขช่องโหว่นี้อย่างสมบูรณ์ในวันที่ 6 มิถุนายน 2025 โดยการยกเลิกฟอร์มการกู้คืนที่ไม่มีการรองรับ JavaScript ที่มีช่องโหว่นี้