網絡安全專家 BruteCat 報告新的安全漏洞，僅通過用戶的谷歌個人資料名稱和部分手機號碼，就能暴力破解出賬戶的恢復手機號碼。

　　BruteCat 發現了一個已被廢棄的無 JavaScript 版本的谷歌用戶名恢復表單，該表單缺乏現代防護機制。通過用戶的個人資料顯示名稱(如“John Smith”)，攻擊者可通過兩個 POST 請求查詢與谷歌賬戶關聯的手機號碼。

　　BruteCat 利用 IPv6 地址輪轉技術，生成大量唯一 IP 地址，輕松繞過表單的簡單速率限制。同時，他通過替換參數和獲取有效 BotGuard 令牌，成功繞過 CAPTCHA 驗證。

　　最終，他開發出一款暴力破解工具“gpb”，能以每秒 40000 次請求的速度，快速破解手機號碼。例如，破解美國號碼僅需 20 分鐘，英國 4 分鐘，荷蘭不到 15 秒。

　　攻擊需先獲取目標的電子郵箱地址。盡管 Google 去年已將郵箱設為隱藏，BruteCat 表示無需與目標互動，通過創建 Looker Studio 文檔并轉移所有權至目標 Gmail 地址，就能獲取目標的顯示名稱。

　　此外，利用 Google 賬戶恢復流程可顯示恢復號碼的部分數字(如 2 位)，結合其他服務(如 PayPal)的密碼重置提示，可進一步縮小范圍。IT之家附上演示視頻如下：

　　BruteCat 于 2025 年 4 月 14 日通過 Google 漏洞獎勵計劃(VRP)報告此問題。Google 最初評估風險較低，但于 5 月 22 日將其升級為“中等嚴重”，并支付研究員 5000 美元獎勵。

　　谷歌于 6 月 6 日確認已完全廢棄該漏洞端點，攻擊路徑不再可行，但是否曾被惡意利用尚不得而知。