skull（brutecat）

资安研究人员BruteCat周一（6/9）揭露，他利用Google在无JavaScript模式中忘了关闭的帐户复原服务，成功地暴力破解了Google用户的电话号码。

为了避免遭到滥用，Google至少自2018年于登录服务中就开始实施JavaScript机器人检测框架，以防止机器人登录。BruteCat说，他是在今年初于浏览器上关闭了JavaScript，想查探是否有任何Google服务在没有JavaScript的情况下仍能运作，发现帐户复原服务竟然还是有效的。

该服务允许透过两个HTTP请求，来检查所输入的电子邮件或电话号码是否与所显示的特定名字有关。

儘管Google试图藉由限制单一IP的请求频率，以及人机验证CAPTCHA来减少滥用行为。但BruteCat採用IPv6以随机切换来源位址，并利用BotGuard令牌来绕过CAPTCHA，接着撰写一个自动化工具以于密码恢复流程中，取得只有两个数字的遮罩电话号码提示，再进行暴力破解。

BruteCat利用每小时0.3美元的服务器资源即可执行每秒4万次的检查，发现找到一个正确的美国电话号码只要20分钟，找到一个英国号码只要4分，找到一个荷兰号码只需15秒，新加坡号码更只要5秒。

他在今年4月将漏洞报告提交给Google，获得5,000美元的奖金，而Google则于今年6月确认，无JavaScript的使用者名称复原表单已全面被弃用。