Bisnis.com, JAKARTA — Google telah memperbaiki sebuah celah keamanan yang memungkinkan nomor telepon pemulihan (recovery) pengguna dapat diketahui tanpa sepengetahuan pemilik akun. Adapun jumlah pengguna Google diklaim telah mencapai miliaran akun.
Bug ini sebelumnya dapat dimanfaatkan untuk mengungkap nomor telepon pribadi hampir semua akun Google, yang berisiko membahayakan privasi dan keamanan pengguna.
“Masalah ini telah diperbaiki,” kata juru bicara Google, Kimberly Samra dikutip dari laman TechCrunch pada Selasa (10/6/2025).
Kemampuan untuk mengungkap nomor telepon pribadi dapat membuka peluang bagi serangan yang lebih terarah, termasuk pengambilalihan akun.
Nomor telepon yang terhubung dengan akun Google dapat dimanfaatkan untuk melakukan serangan SIM swap, yaitu mengambil alih nomor telepon pengguna agar bisa menerima kode pemulihan kata sandi, lalu mengakses akun-akun penting lainnya.
Samra pun mengatakan pihaknya selalu menekankan pentingnya bekerja sama dengan komunitas peneliti keamanan melalui program penghargaan kerentanan Google.
“Kami ingin berterima kasih kepada peneliti yang telah melaporkan masalah ini,” katanya.
Samra mengatakan laporan dari para peneliti seperti ini adalah salah satu cara perusahaan dapat dengan cepat menemukan dan memperbaiki masalah demi keamanan pengguna. Dia juga mengatakan hingga saat ini belum ditemukan kaitan langsung yang terkonfirmasi antara celah tersebut dengan eksploitasi nyata.
Peneliti keamanan independen yang menemukan bug ini menggunakan nama samaran brutecat dan mempublikasikan temuannya melalui blog. Dis menjelaskan celah ini ditemukan pada fitur pemulihan akun milik Google.
Eksploitasi dilakukan melalui rangkaian proses atau attack chain yang kompleks, termasuk membocorkan nama tampilan lengkap dari akun target dan melewati sistem perlindungan anti-bot yang diterapkan Google untuk mencegah penyalahgunaan permintaan pengaturan ulang kata sandi.
Dengan menembus batasan jumlah percobaan (rate limit), peneliti tersebut mampu menguji berbagai kemungkinan kombinasi nomor telepon yang terkait dengan sebuah akun, hingga akhirnya menemukan angka yang tepat.
Peneliti mengatakan proses ini dapat diotomatisasi dengan skrip dan hanya membutuhkan waktu kurang dari 20 menit, tergantung pada panjang nomor telepon yang dicoba.
Atas temuannya ini, brutecat menerima hadiah sebesar US$5.000 dari program bug bounty milik Google.
