Google усунув серйозну вразливість у своїй системі акаунтів, яка дозволяла отримати номер телефону користувача лише за адресою його Gmail. Експерти радять перевірити свої налаштування безпеки та видалити номер телефону з двофакторною автентифікацією. Про це пише американський Forbes.
Що сталося
Дослідник з псевдонімом brutecat виявив, що можна дізнатися номер телефону, прив’язаний до будь-якого облікового запису Google, використовуючи лише адресу Gmail. Ця інформація зазвичай не є публічною, але виявилася доступною через вразливість. Її підтвердили сам дослідник, медіа 404 Media та компанія Google.
Що це означає
Ваш номер телефону в Google-акаунті може використовуватись у двох місцях:
- Для відновлення доступу до облікового запису.
- Для двофакторної автентифікації (2FA), коли надсилаються SMS-коди.
Компанія Google радить не використовувати номер телефону для 2FA, а натомість обрати безпечніші методи:
- фізичні ключі безпеки,
- застосунки автентифікації,
- ключі доступу.
Причина — ризик того, що зловмисник, знаючи номер, може підмінити SIM-картку або використати методи соціальної інженерії, щоб отримати контроль над вашим обліковим записом.
Також варто пам’ятати: Google ніколи не телефонує з техпідтримки, тому всі дзвінки або повідомлення з подібними запитами — шахрайство.
Як перевірити налаштування безпеки:
- Зайдіть у свій обліковий запис Google.
- Перейдіть у розділ «Безпека».
- Перевірте розділи «Відновлення акаунта» та «Двоетапна перевірка» (2SV).
- Видаліть номер телефону з 2FA та замініть його на безпечніший метод.