アカウントと電話番号で致命的なセキュリティホールになるなら、誰かに連絡先としてGmailと電話番号の2つを教えた時点アウトということ?
どういうことかというと、名刺に書かれた電話番号を2段階認証に使用していると、SIMスワップでgoogleアカウントは突破されるよってこと
「brutecatによると、JavaScriptを使用しない従来のユーザー名回復フォームがアクセス可能な状態で残っており、スクリプトを使ってあらゆる組み合わせを総当たりで試すことで、正しい番号を導き出すことが可能だった」
結構重大じゃない?Xだとアカウントから個人を特定しようと必死になってる人も居るし
これ相場なの? (よく知らない) >バグを報告したbrutecatに対し、Googleは5000ドル(約72万円)の報奨金と景品を授与
Googleはパスキーの復旧に電話番号やSMS使うなよ。/そやね今はできるか知らんけどワイの失われたアカウント復活させてから言うてな。
72万円ならブラックハットに売り捌いたほうが高そう
Googleだと72万円が安く見えてくる
当問題は修正済みなのでタイトル詐欺でありgigazineはクソ 報奨プログラムが理想的に運用されてるので、良い着地だったと思うよ
海外はともかく国内キャリア相手に名刺程度の情報でSIMスワップ攻撃は無理では。偽造身分証作るか相応の個人情報と演技力が無いと、なりすましで機種変や再発行通すのは難しいでしょ。
脆弱性のやばさに対して懸賞金が安すぎる気がするがそんなもんなのか??
この脆弱性はGmail(googleアカウント)をキーに紐づいている電話番号を総当たりで発見できるという話なので、名刺の電話番号云々はいまいちあってないと思う
何か読み違えてそうなんだけど、メールアドレスと電話番号がセットで知られることが危険みたいに書いてる?でも、そんなん晒してる人、山のようにおりませんか?
電話(SMS)による多要素認証やアカウント再設定はとうの昔に安全ではなくなっているので、Googleは他の認証・再設定方法を提供している。未だに多要素認証をSMSでしか提供していない凡百のサービスよりは100倍マシやよ
別にGoogleのパスキーの復旧に電話番号やSMS使わない設定もできた気がするけど
メアドと電話番号がわかるのが致命的なんじゃなくて、「その電話番号を乗っ取られたら致命的」てコトだろ?😳 でも、偽造証明書でSIM再発行されるSIMスワップとかフィッシングとか、乗っ取り狙い撃ちされると怖い…😨
電話番号が知られてることがリスクになる時代か。povoで非公開前提の電話番号を持っておくべきなんだな
レビューされないレガシーコードに潜む
もう電話番号要らなくね?
これが原因で足がかりにされる可能性があるがそれにしてもsimスワップとか言い出すのは飛躍が過ぎる。gigazineのこのての記事はまともに取り合う価値ない
72万円でずいぶん安いな。儲けてるんだからもっと出せばいいのに
仮にセキュリティリスク無かったとしても、メールアドレスに紐付いた電話番号知られるのは結構嫌じゃない?
Googleアカウントに紐付けられた電話番号が「総当たり」で見つかる問題が発見される
アカウントと電話番号で致命的なセキュリティホールになるなら、誰かに連絡先としてGmailと電話番号の2つを教えた時点アウトということ?
どういうことかというと、名刺に書かれた電話番号を2段階認証に使用していると、SIMスワップでgoogleアカウントは突破されるよってこと
「brutecatによると、JavaScriptを使用しない従来のユーザー名回復フォームがアクセス可能な状態で残っており、スクリプトを使ってあらゆる組み合わせを総当たりで試すことで、正しい番号を導き出すことが可能だった」
結構重大じゃない?Xだとアカウントから個人を特定しようと必死になってる人も居るし
これ相場なの? (よく知らない) >バグを報告したbrutecatに対し、Googleは5000ドル(約72万円)の報奨金と景品を授与
Googleはパスキーの復旧に電話番号やSMS使うなよ。/そやね今はできるか知らんけどワイの失われたアカウント復活させてから言うてな。
72万円ならブラックハットに売り捌いたほうが高そう
Googleだと72万円が安く見えてくる
当問題は修正済みなのでタイトル詐欺でありgigazineはクソ 報奨プログラムが理想的に運用されてるので、良い着地だったと思うよ
海外はともかく国内キャリア相手に名刺程度の情報でSIMスワップ攻撃は無理では。偽造身分証作るか相応の個人情報と演技力が無いと、なりすましで機種変や再発行通すのは難しいでしょ。
脆弱性のやばさに対して懸賞金が安すぎる気がするがそんなもんなのか??
この脆弱性はGmail(googleアカウント)をキーに紐づいている電話番号を総当たりで発見できるという話なので、名刺の電話番号云々はいまいちあってないと思う
何か読み違えてそうなんだけど、メールアドレスと電話番号がセットで知られることが危険みたいに書いてる?でも、そんなん晒してる人、山のようにおりませんか?
電話(SMS)による多要素認証やアカウント再設定はとうの昔に安全ではなくなっているので、Googleは他の認証・再設定方法を提供している。未だに多要素認証をSMSでしか提供していない凡百のサービスよりは100倍マシやよ
別にGoogleのパスキーの復旧に電話番号やSMS使わない設定もできた気がするけど
メアドと電話番号がわかるのが致命的なんじゃなくて、「その電話番号を乗っ取られたら致命的」てコトだろ?😳 でも、偽造証明書でSIM再発行されるSIMスワップとかフィッシングとか、乗っ取り狙い撃ちされると怖い…😨
電話番号が知られてることがリスクになる時代か。povoで非公開前提の電話番号を持っておくべきなんだな
レビューされないレガシーコードに潜む
もう電話番号要らなくね?
これが原因で足がかりにされる可能性があるがそれにしてもsimスワップとか言い出すのは飛躍が過ぎる。gigazineのこのての記事はまともに取り合う価値ない
72万円でずいぶん安いな。儲けてるんだからもっと出せばいいのに
仮にセキュリティリスク無かったとしても、メールアドレスに紐付いた電話番号知られるのは結構嫌じゃない?