近日，安全研究人員BruteCat揭示了一項針對谷歌賬號安全性的重大發(fā)現(xiàn)。他通過利用谷歌一個鮮為人知的賬號找回功能，成功破解了部分用戶的手機(jī)號碼。

據(jù)悉，自2018年起，谷歌便在其賬號登錄服務(wù)中引入了基于Java的機(jī)器人檢測機(jī)制，旨在防止不法分子通過自動化腳本進(jìn)行惡意操作。然而，BruteCat在實驗中發(fā)現(xiàn)，即便關(guān)閉了Java，谷歌的賬號找回服務(wù)仍能正常使用。這一發(fā)現(xiàn)引發(fā)了他對該服務(wù)安全性的深入探索。

在探索過程中，BruteCat發(fā)現(xiàn)，通過兩個簡單的HTTP請求，即可驗證用戶輸入的郵箱地址或手機(jī)號碼是否與特定的谷歌賬號相關(guān)聯(lián)。這一機(jī)制雖然便捷，卻也為不法分子提供了可乘之機(jī)。

為了防范潛在的攻擊，谷歌采取了多項安全措施，包括限制單一IP的訪問頻率和引入CAPTCHA驗證碼。然而，BruteCat通過采用IPv6動態(tài)切換地址，并利用BotGuard的令牌成功繞過了CAPTCHA驗證，從而完全規(guī)避了谷歌的限制。在此基礎(chǔ)上，他開發(fā)了一段腳本，利用賬號找回服務(wù)中顯示的手機(jī)號碼號段提示，進(jìn)行暴力破解。

據(jù)BruteCat的測試結(jié)果顯示，利用每小時成本僅約0.3美元（約合2.2元人民幣）的云服務(wù)器，即可實現(xiàn)每秒4萬次的暴力破解嘗試。其中，破解一個美國電話號碼大約需要20分鐘，英國號碼約4分鐘，荷蘭號碼更是僅需15秒，而新加坡號碼的破解速度最快，僅需5秒即可成功獲取。

面對這一嚴(yán)重的安全漏洞，BruteCat在今年4月及時向谷歌提交了相關(guān)報告。谷歌對此表示高度重視，并在今年6月成功修復(fù)了該漏洞。為了表彰BruteCat的貢獻(xiàn)，谷歌還向他頒發(fā)了5000美元（約合35926元人民幣）的漏洞獎勵。

此次事件再次提醒我們，網(wǎng)絡(luò)安全問題不容忽視。即便是像谷歌這樣的全球科技巨頭，也需要不斷優(yōu)化和完善其安全措施，以應(yīng)對不斷變化的網(wǎng)絡(luò)安全威脅。同時，廣大用戶也應(yīng)提高安全意識，加強(qiáng)賬號保護(hù)，避免個人信息泄露。

BruteCat的勇敢揭露和谷歌的及時響應(yīng)也為我們樹立了榜樣。面對網(wǎng)絡(luò)安全漏洞，我們應(yīng)勇于揭露、積極應(yīng)對，共同維護(hù)一個安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。