他在6月10日报告说,安全人员昨天发表了一篇文章。他使用Google帐户中的某些用户的手机号码使用Google的“遗忘”帐户来获得服务功能。据报道,2018年,Google已经在其家居登录服务中实施了基于JavaScript的机器人检测机制,使罪犯可以使用自动脚本来执行各种恶意操作。但是Brutecat今年早些时候表示,他想在浏览器中关闭JavaScript,并尝试无需JavaScript即可使用的Google服务。结果,他发现该平台的帐户搜索服务仍在成功执行。使用相应的服务,两个HTTP请求允许您验证您输入的电子邮件地址或您输入的手机号码是否与特定的Google帐户关联。 Google阻止了犯罪分子攻击他们对限制SINGL的访问频率做出回应的服务E IP,引入验证码验证代码,但BruteCat使用IPv6动态更改地址并同时使用Botguard令牌避免验证码。然后,我开发了一个脚本,该脚本使用大约使用相应的密码来恢复链接到在蛮力破解中出现的用户帐户的手机号码段。 ▲根据BruteCat测试,由Google制定的验证验证代码可以实现“每秒40,000个总力裂纹”和“第二次毛力裂纹”和“仅使用“每小时约0.3 usd的成本:当前的汇率约为2.2 yuan)”。其中,分隔美国电话号码只有20分钟。英国大约需要四分钟,而国家道只需15秒。 BruteCat在今年4月发布了一份与Google有关的漏洞报告,称其获得了5,000美元的漏洞奖励(当前汇率约为35,926人)。Google设定了今年6月解决的漏洞。