Seorang peneliti keamanan cyber berhasil menemukan celah serius dalam sistem Google yang memungkinkan siapa pun mengungkap nomor ponsel yang terhubung ke akun Google melalui teknik brute-force. Celah ini sempat terbuka dan berpotensi disalahgunakan oleh hacker dengan sumber daya minimal, sebelum akhirnya diperbaiki oleh Google.
Peneliti independen dengan nama alias brutecat mengembangkan metode untuk menebak nomor ponsel pengguna Google secara sistematis. Dalam uji coba bersama 404 Media, brutecat berhasil menemukan nomor ponsel dari sebuah akun Gmail hanya dalam waktu sekitar enam jam.
“Ini eksploitasi yang cukup berbahaya karena nomor ponsel adalah target utama para pelaku SIM swapping,” ujar brutecat dalam email. SIM swapper adalah hacker yang membajak nomor ponsel korban agar bisa menerima SMS dan panggilan, termasuk kode verifikasi dua langkah (2FA) dan tautan pemulihan akun.
Teknik yang digunakan cukup rumit: brutecat memanfaatkan fitur Google Looker Studio untuk mentransfer kepemilikan dokumen ke akun target tanpa notifikasi. Nama dokumen dimodifikasi menjadi jutaan karakter agar proses pengalihan tidak terdeteksi. Selanjutnya, dengan kode khusus, brutecat mengirimkan ribuan tebakan nomor ke sistem Google hingga menemukan kecocokan.
Dalam videonya, brutecat menekankan bahwa korban tidak akan menerima pemberitahuan apa pun selama proses berlangsung. Untuk beberapa negara, proses brute-force ini hanya memakan waktu 8 menit di Inggris, dan kurang dari 1 menit di negara tertentu.
Google telah mengonfirmasi bahwa celah tersebut telah diperbaiki dan mengapresiasi temuan tersebut melalui program bug bounty. Brutecat menerima hadiah $5.000 (sekitar Rp. 81 Juta) dan paket swag sebagai bentuk penghargaan. Menariknya, pada awalnya Google menganggap celah ini memiliki risiko rendah, namun setelah penilaian ulang, statusnya dinaikkan menjadi risiko sedang.
Nomor ponsel adalah komponen penting dalam keamanan digital, khususnya sebagai bagian dari sistem otentikasi dua faktor. Jika sampai jatuh ke tangan hacker, nomor tersebut bisa digunakan untuk mengakses akun penting seperti email, media sosial, bahkan dompet kripto. FBI sendiri memperingatkan agar masyarakat tidak membagikan nomor ponsel secara publik, terutama di media sosial.
Kasus ini menjadi pengingat bahwa meskipun perusahaan besar seperti Google memiliki sistem keamanan tingkat tinggi, tetap ada celah yang bisa dimanfaatkan. Pengguna disarankan untuk tidak hanya mengandalkan nomor ponsel sebagai metode pemulihan akun dan menjaga kerahasiaan informasi pribadi mereka.