06-nummer Nederlandse Google-accounts in 15 seconden te achterhalen
Het 06-nummer van Nederlandse Google-accounts was in 15 seconden te achterhalen, zo ontdekte een beveiligingsonderzoeker met het alias brutecat. Google heeft inmiddels maatregelen getroffen om dit te voorkomen. De onderzoeker zag dat het formulier dat Google gebruikt voor accountherstel ook werkt als JavaScript staat uitgeschakeld. Via deze pagina kunnen gebruikers het e-mailadres of telefoonnummer invullen dat ze eerder hebben opgegeven voor het herstellen van hun account.
Om misbruik op de pagina te voorkomen maakt Google gebruik van botguard. Deze maatregel is echter niet actief als JavaScript staat uitgeschakeld. Met een token van botguard afkomstig van de pagina met JavaScript ingeschakeld, kon de onderzoeker op de pagina waarbij JavaScript was uitgeschakeld zonder beperkingen telefoonnummers opvragen. Om gerichter te zoeken moest de onderzoeker ook de volledige weergavenaam van de Google-gebruiker te zien achterhalen. Daar vond hij een andere methode voor.
Sinds 2023 laat Google alleen de naam zien als er direct interactie van de gebruiker is, bijvoorbeeld bij een gedeeld document. Sinds april 2024 worden weergavenamen voor ongeauthenticeerde accounts helemaal niet meer weergegeven. De onderzoeker ontdekte dat hij echter een Looker Studio-document kon creëren, om daar vervolgens de Google-gebruiker eigenaar van de te maken. Daarbij werd de volledige weergavenaam weergegeven, zonder enige interactie van de gebruiker. Bij de aanval achterhaalt de onderzoeker eerst de volledige naam van het doelwit en gebruikt die vervolgens bij een bruteforce-aanval om het telefoonnummer te achterhalen.
Het volledig achterhalen van een 06-nummer via een bruteforce-aanval was volgens de onderzoeker binnen vijftien seconden te doen. In het geval van een Singaporees nummer duurde dit slechts vijf seconden. Bij een Amerikaans telefoonnummer had de onderzoeker echter twintig minuten nodig. De onderzoeker waarschuwde Google in april, dat dezelfde maand met een oplossing kwam.
In eerste instantie beloonde Google de onderzoeker met een beloning van 1337 dollar en wat 'swag'. De onderzoek ging tegen het bedrag in beroep, aangezien er geen voorwaarden voor de aanval zijn vereist en een doelwit misbruik niet kan ontdekken. Daarop besloot Google het totale beloningsbedrag te verhogen naar 5.000 dollar. Details over het probleem zijn nu openbaar gemaakt.
Ze mogen me thuis bellen, en anders niet.
Vroeger had je al die onzin onderweg ook niet nodig, ik gebruik mijn telefoon liever verantwoordelijk en voor belangrijker zaken zoals games, strips, het bekijken van xxx-websites en het afluisteren van anderen via hun sociale media account. (Althans, ze luisteren zichzelf af)
Daarnaast kun je er stiekem mensen mee filmen.
Thuis hang ik bij alles op, tenzij men een afspraak heeft, of een bekende is, maar zodra ze om geld of pincode's gaan vragen ben ik er snel klaar mee, dat kan een gekloonde AI-stem zijn.
Ik gebruik meestal offline resources voor onderweg (offline kaarten, offline wiki's, offline AI, enz. en thuis zit ik uitsluitend op mijn WiFi. (Airplane mode+WiFi)
Ik stam nog uit de jaren '70 (ik ben een oude zak) dus ben ik gewend niet altijd online te hoeven zijn, het is een verademing!
Meer mensen zouden het moeten proberen, het zal u goeddoen. (-:
De laatste jaren als je als consument niet oplette kwam ook je 06 nummer erin.
Onze vriend Arnold in de film The Terminator gebruikte dit zelfs om uiteindelijk te kunnen achterhalen waar Sarah woonde.
En dat was in de jaren 80
Dus tja.... Telefoonnummers waren altijd al een publiekelijk toegankelijk iets, tenzij je er voor koos om dat niet te doen.
Wel iets voor die-hard noscript gebruikers om over na te denken, deze kwetsbaarheid.
De laatste jaren als je als consument niet oplette kwam ook je 06 nummer erin.
Onze vriend Arnold in de film The Terminator gebruikte dit zelfs om uiteindelijk te kunnen achterhalen waar Sarah woonde.
En dat was in de jaren 80
Dus tja.... Telefoonnummers waren altijd al een publiekelijk toegankelijk iets, tenzij je er voor koos om dat niet te doen.
Was iets anders: de keuze was geen vermelding het telefoonboek, en wel of niet opvraagbaar bij de telefonisten van 008. Bij het opvragen was volledige naam (goed gespeld) en/of adres met huisnummer noodzakelijk
Ik heb lang een telefoon gehad met twee sims erin. Een om te bellen met bekenden, de ander om te bellen, en teruggebeld kunnen worden door onbekenden.
Maar om een telefoon te hacken en de software aan te passen of persoonlijk met de eigenaar van de telefoon te communiceren, is verbinding met een telco-provider al genoeg.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben jij verantwoordelijk voor het aansturen van de dagelijkse operatie binnen het SOC. Je stuurt medewerkers functioneel aan en rapporteert aan de manager. Daarnaast ben je ook betrokken bij SOC-werkzaamheden, zoals het detecteren en afhandelen van security incidenten. Je verzamelt dreigingsinformatie, richt detectie-regels in, en zorgt ervoor dat aanvallers vroegtijdig worden geïdentificeerd.
Senior Security Specialist
Directie Informatievoorziening & Inkoop
Als senior security specialist ben je verantwoordelijk voor het detecteren en af-handelen van (mogelijke) security incidenten. Je vergaart dreigingsinformatie en richt de-tectieregels in op basis van risico's, zodat aanvallers in een vroeg stadium geïden-tificeerd kunnen worden. Deze risico's haal je actief op bij systeemeigenaren. Wanneer een dreiging wordt gedetecteerd, zorg jij ervoor dat de juiste acties worden uitgezet en voorzie jij alle stakeholders van handelings-perspectief.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.