Nel panorama sempre più articolato della cybersicurezza, dove ogni singolo dato personale può trasformarsi in un pericoloso punto d’ingresso per attacchi hacker, Google si è ritrovata a dover affrontare e risolvere rapidamente una vulnerabilità tanto insidiosa quanto sottovalutata; un bug che, sfruttando una combinazione di strumenti ufficiali e meccanismi di recupero dell’account, poteva permettere a un malintenzionato di risalire al numero di telefono associato a un profilo Google in meno di 20 minuti.
Segui TuttoAndroid su Google Discover
roborock Qrevo Curv 2 Flow
Offerta + clicca su applica coupon di 50 euro + coupon: TTANDROID5
Ecco come gli hacker potevano risalire al numero di telefono associato all’account Google
Molti utenti tendono a sottovalutare l’importanza della riservatezza del proprio numero di telefono, un’informazione che si condivide con leggerezza tra contatti personali, servizi online e app di ogni tipo, ma che oggi è diventata un elemento cardine della nostra identità digitale, soprattutto in un contesto in cui la verifica in due passaggi (2FA) è sempre più diffusa e spesso affidata proprio a un SMS.
È proprio per questo che Google, come altre grandi aziende tecnologiche, ha sempre cercato di mantenere il numero di telefono degli utenti il più possibile riservato; tuttavia, come spesso accade nel mondo della sicurezza informatica, ciò che è progettato per proteggere può trasformarsi in un’arma nelle mani degli hacker, se mal implementato.
I ricercatori di Brutecat hanno scoperto che era possibile aggirare le protezioni offerte dal sistema di recupero account di Google, sfruttando un mix di tecniche intelligenti e una falla su una pagina che non utilizzava JavaScript per limitare l’interazione automatizzata (come avviene nella maggior parte dei form del colosso di Mountain View).
Il processo si basava su una catena di vulnerabilità:
- Google fornisce un indizio sulle ultime due cifre del numero di telefono associato a un account, utile in fase recupero per un utente legittimo
- Looker Studio, uno strumento di analisi sviluppato da Google stessa, permetteva di ottenere un nome visualizzato collegato all’account
- a questo punto sfruttando il prefisso internazionale, anch’esso facilmente deducibile, un hacker poteva automatizzare l’inserimento delle cifre mancanti e, aggirando le limitazioni di velocità, arrivare al numero corretto in tempi sorprendentemente rapidi, anche solo 4 minuti nei casi più favorevoli
Un attacco tecnicamente sofisticato, ma non così complesso da impedire un’esecuzione reale da parte di attori malevoli, soprattutto in contesti un cui il bersaglio è un account specifico.
La vulnerabilità è stata segnalata ad aprile 2025 e, dopo un’attenta analisi da parte del team di sicurezza di Google, è stata corretta definitivamente a fine maggio; la società ha confermato pubblicamente che il problema è stato risolto, elargendo un premio di 5.000 dollari nell’ambito del proprio programma di bug bounty.
In una dichiarazione ufficiale, Google ha ribadito l’importanza della collaborazione con la community della sicurezza, sottolineando come segnalazioni di questo tipo siano fondamentali per proteggere gli utenti in modo proattivo e tempestivo.
Se da un lato la falla è stata corretta e l’allarme rientrato, resta il consiglio cruciale per tutti gli utenti, ovvero evitare (per quanto possibile) di affidarsi esclusivamente al numero di telefono per l’autenticazione a due fattori; soluzioni come Google Authenticator o altre app dedicate, token hardware di sicurezza, oppure l’autenticazione passkey basata su standard FIDO2, rappresentano oggi alternative molto più robuste.
In conclusione, questa vicenda dimostra ancora una volta quanto sia sottile il confine tra comodità e sicurezza online, anche un numero di telefono può trasformarsi in un’arma se finisce nelle mani sbagliate; e se è vero che gli utenti devono fare la loro parte scegliendo strumenti di autenticazione più avanzati, è altrettanto vero che spetta alle aziende tecnologiche come Google garantire che i propri strumenti non diventino mai un punto debole dell’ecosistema digitale.
- Trafugati 1,17 TB di dati sensibili degli utenti in seguito ad un attacco hacker
- Una falla nei server Samsung MagicINFO espone la segnaletica digitale agli attacchi
- Google Chrome: scoperta una grave falla che avrebbe esposto la cronologia degli utenti dal 2008
- Google sistema alcuni bug e una grave falla di sicurezza presenti in YouTube