Beveiligingslek liet Nederlandse 06-nummers van Google-accounts in 15 seconden kraken
Beveiligingslek liet Nederlandse 06-nummers van Google-accounts in 15 seconden kraken
10-6-25, 10:00
Een beveiligingsonderzoeker met het alias Brutecat ontdekte een kwetsbaarheid in Google's accountherstelsysteem, waardoor het mogelijk was om Nederlandse 06-nummers die aan Google-accounts gekoppeld waren, in slechts 15 seconden te achterhalen.
Een beveiligingsonderzoeker met het alias Brutecat ontdekte een kwetsbaarheid in Google's accountherstelsysteem, waardoor het mogelijk was om Nederlandse 06-nummers die aan Google-accounts gekoppeld waren, in slechts 15 seconden te achterhalen. Google heeft inmiddels een patch uitgerold om misbruik te voorkomen.
Hoe werkte het lek?
De onderzoeker merkte op dat het accountherstelformulier van Google werkte zonder JavaScript—een ongebruikelijke instelling die beveiligingsmaatregelen omzeilde. Normaal gesproken gebruikt Google BotGuard, een systeem om automatische aanvallen te blokkeren, maar deze werkte niet wanneer JavaScript was uitgeschakeld.
Door een BotGuard-token te genereren op een pagina met JavaScript en dit vervolgens te gebruiken op een pagina zonder JavaScript, kon de onderzoeker onbeperkt telefoonnummers opvragen. Om een specifiek doelwit te vinden, moest echter ook de volledige weergavenaam van het Google-account bekend zijn.
Hackers konden namen ophalen via Looker Studio
Sinds 2023 toont Google gebruikersnamen alleen nog na directe interactie (bijvoorbeeld in een gedeeld document). Sinds april 2024 worden namen helemaal niet meer getoond aan niet-ingelogde gebruikers. Toch vond Brutecat een omweg: door een Looker Studio-document aan te maken en een doelwit als eigenaar in te stellen, werd de volledige naam zonder interactie zichtbaar.
Met deze gegevens kon een bruteforce-aanval worden uitgevoerd om het telefoonnummer te achterhalen. Het kraken van een:
Nederlands 06-nummer duurde 15 seconden,
Singaporees nummer slechts 5 seconden,
Amerikaans nummer kostte 20 minuten vanwege een langere numerieke reeks.
Google reageerde snel, maar beloning leidde tot discussie
Brutecat meldde het lek in april 2024, waarna Google het binnen een maand oploste. Het bedrijf kende aanvankelijk een beloning van $1.337 toe (een referentie naar "leet" in hackersjargon), plus wat merchandise. De onderzoeker ging in beroep, aangezien het lek geen specifieke voorwaarden vereiste en slachtoffers het misbruik niet konden detecteren. Uiteindelijk verhoogde Google de beloning naar $5.000.
Inmiddels zijn de technische details openbaar gemaakt, zodat andere platforms kunnen leren van deze aanpak.