Prima di procedere
Nel dinamico mondo della
cybersicurezza
, dove ogni dato digitale può rappresentare un potenziale rischio per la sicurezza,
Google
si è trovata a dover affrontare una complessa sfida. Una vulnerabilità nel sistema, tanto insidiosa quanto sottovalutata, ha temporaneamente esposto gli utenti a gravi rischi, consentendo a malintenzionati di risalire al
numero di telefono
associato a un profilo Google in meno di diciotto minuti. È stata una corsa contro il tempo quella affrontata dal colosso di
Mountain View
, che ha risolto rapidamente la questione grazie alla collaborazione con la community di cyber-sicurezza.
In una società sempre più connessa, il numero di telefono personale è diventato un'identità fondamentale. Gli utenti spesso lo condividono in modo non ponderato sui social media, servizi online o app, senza considerare le implicazioni di sicurezza. Con la crescente diffusione dell'
autenticazione a due fattori (2FA)
, che spesso si avvale di messaggi SMS per garantire la sicurezza, la tutela del numero di telefono dalle minacce informatiche è diventata cruciale. Per questo motivo, Google e le altre grandi aziende tecnologiche investono notevoli risorse nel proteggere questa informazione sensibile.
Tuttavia, c'è sempre il rischio che misure progettate per proteggere possano diventare un'arma nelle mani sbagliate. I ricercatori di Brutecat hanno evidenziato una falla nel sistema di recupero account di Google, sfruttando una serie di tecniche intelligenti che aggiravano le protezioni standard. In pratica, il difetto si basava su una pagina di recupero che non utilizzava
JavaScript
per limitare le interazioni automatizzate, consentendo di ottenere indizi sulle ultime due cifre del numero di telefono collegato a un account.
Questo attacco era ulteriormente facilitato dalle informazioni ottenibili tramite
Looker Studio
, uno strumento analitico di Google che poteva rivelare il nome associato a un account. In combinazione con il prefisso internazionale facilmente deducibile, un hacker poteva automatizzare la ricerca delle cifre mancanti, superando i limiti di velocità previsti per gli accessi non riconosciuti.
La scoperta della vulnerabilità è avvenuta nell'aprile del 2025 e, dopo dettagliate analisi, Google ha implementato una correzione definitiva entro la fine di maggio dello stesso anno. La compagnia ha riconosciuto pubblicamente il problema e ringraziato i ricercatori, assegnando loro un premio di
5.000 dollari
nell'ambito del proprio programma di bug bounty.
In una dichiarazione ufficiale, Google ha ribadito l'importanza della collaborazione con la community di sicurezza, sottolineando come segnalazioni di questo genere siano fondamentali per proteggere gli utenti rapidamente e in modo proattivo. Nonostante la risoluzione del problema, rimane fondamentale per gli utenti non affidarsi unicamente al numero di telefono per l'autenticazione a due fattori. Soluzioni come
Google Authenticator
, token hardware di sicurezza, e le più recenti autenticazioni basate su standard
FIDO2
, rappresentano oggi alternative di gran lunga più robuste.
Questa vicenda evidenzia l'intricata relazione tra comodità e sicurezza nel mondo digitale. Anche il numero di telefono, un'informazione apparentemente innocua, può rivelarsi un'arma pericolosa se finisce nelle mani sbagliate. Gli utenti devono essere proattivi nel proteggere i propri dati, ma è anche responsabilità delle grandi aziende garantire che le loro piattaforme non diventino mai punti deboli nell'ecosistema della sicurezza informatica.
