6 月 10 日音讯，谷歌网络安全专家 BruteCat 陈述新的缝隙安全缝隙
 ，仅经过用户的被修谷歌个人资料称号和部分手机号码，就能暴力破解出账户的正最账号康复手机号码 。

BruteCat 发现了一个已被抛弃的快秒无 JavaScript 版别的谷歌用户名康复表单，该表单缺少现代防护机制。破解经过用户的获取号个人资料显现称号（如“John Smith”），进犯者可经过两个 POST 恳求查询与谷歌账户相关的相关手机号码。

BruteCat 使用 IPv6 地址轮转技能，手机生成很多仅有 IP 地址 ，谷歌轻松绕过表单的缝隙简略速率约束。一起，被修他经过替换参数和获取有用 BotGuard 令牌，正最账号成功绕过 CAPTCHA 验证 。快秒

终究 ，他开宣布一款暴力破解东西“gpb”，能以每秒 40000 次恳求的速度，快速破解手机号码。例如 ，破解美国号码仅需 20 分钟，英国 4 分钟 ，荷兰不到 15 秒，新加坡不到 5 秒。

进犯需先获取方针的电子邮箱地址。虽然 Google 上一年已将邮箱设为躲藏
，BruteCat 表明无需与方针互动，经过创立 Looker Studio 文档并搬运一切权至方针 Gmail 地址，就能获取方针的显现称号。

此外，使用 Google 账户康复流程可显现康复号码的部分数字（如 2 位），结合其他服务（如 PayPal）的暗码重置提示，可进一步缩小规模。附上演示视频如下：

BruteCat 于 2025 年 4 月 14 日经过 Google 缝隙奖赏方案（VRP）陈述此问题。Google 开始评价危险较低，但于 5 月 22 日将其晋级为“中等严峻” ，并付出研究员 5000 美元奖赏 。

谷歌于 6 月 6 日承认已彻底抛弃该缝隙端点  ，进犯途径不再可行 ，但是否曾被歹意使用尚不得而知。

广告声明 ：文内含有的对外跳转链接（包括不限于超链接、二维码
、口令等方式），用于传递更多信息 ，节约甄选时刻 ，成果仅供参考，一切文章均包括本声明  。

Source: 娱乐