Google repareert bug waarmee het mogelijk was om telefoonnummers te achterhalen

Google heeft een bug opgelost waardoor het mogelijk was om telefoonnummers van vrijwel iedere Google-gebruiker te achterhalen. De bug deed zich voor bij de pagina waarmee gebruikers hun Google-account kunnen herstellen via een telefoonnummer.

De bug is ontdekt door een onderzoeker die zichzelf Brutecat noemt. Hij kwam erachter dat de pagina waarop gebruikers hun Google-account kunnen herstellen als ze hun inloggegevens niet meer weten, geen gebruik maakte van JavaScript. Daardoor was de antibruteforcemaatregel BotGuard niet geïmplementeerd. De onderzoeker kon hierdoor onbeperkt telefoonnummers invoeren totdat het juiste was gevonden. Wel werd er telkens na een paar pogingen een captcha getoond, maar deze wist Brutecat te omzeilen door de BotGuard-tokens van formulieren met JavaScript te gebruiken.

Brutecat ontwikkelde vervolgens een script voor het bruteforcen van telefoonnummers op basis van de landcodes. Aangezien Google enkele getallen van een telefoonnummer al weergeeft op de pagina, kost dit volgens de onderzoeker in de meeste gevallen een paar minuten. Nederlandse telefoonnummers wist Brutecat zelfs al binnen vijftien seconden te bruteforcen. Het gaat hierbij om het hersteltelefoonnummer, maar dat is volgens de onderzoeker vaak hetzelfde als het hoofdtelefoonnummer.

Om bij dit herstelformulier te komen, is de volledige naam van de eigenaar van het Google-account nodig, maar deze wordt sinds kort niet meer openbaar weergegeven. Brutecat wist de namen te achterhalen door een Looker Studio-document aan te maken en het Google-account in kwestie als eigenaar aan te wijzen. Vervolgens wordt de naam op de homepagina weergegeven.

Brutecat heeft de bug in april gemeld aan Google en inmiddels heeft het bedrijf de kwetsbaarheden verholpen. In een verklaring aan TechCrunch zegt de techreus dat de bug niet bewezen is misbruikt. Google heeft een bugbounty van vijfduizend dollar uitgekeerd aan de onderzoeker.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Kevin Krikhaar

Redacteur

Feedback • 10-06-2025 10:25
45 • submitter: pctje

10-06-2025 • 10:25

Submitter: pctje

Lees meer

Graphite-spyware treft twee Europese journalisten via iOS-lek

Graphite-spyware treft twee Europese journalisten via iOS-lek Nieuws van 13 juni 2025

Google repareert zeroday in Chrome waarvan informatie op X werd gedeeld

Google repareert zeroday in Chrome waarvan informatie op X werd gedeeld Nieuws van 16 mei 2025

Google dicht Chrome-kwetsbaarheid die mogelijk voor spionage werd gebruikt

Google dicht Chrome-kwetsbaarheid die mogelijk voor spionage werd gebruikt Nieuws van 27 maart 2025

Google heeft probleem met niet-werkende Chromecasts opgelost, rolt fix uit

Google heeft probleem met niet-werkende Chromecasts opgelost, rolt fix uit Nieuws van 14 maart 2025

Google maakt tool om Android op kwetsbaarheden te scannen opensource

Google maakt tool om Android op kwetsbaarheden te scannen opensource Nieuws van 6 december 2024

Meer producten en artikelen

Beveiliging en antivirus Privacy Google Account

Reacties (45)

Privacy

10 juni 2025 10:35

Reden dat velen geen telefoonnummer aan hun Google account gekoppeld hebben zitten.

Alhoewel dat binnenkort wellicht zal moeten gaan veranderen. Zijn een paar plekken her en der op internet, o.a. het /g/ technology board op 4-chan waar recent geklaagd is door mensen dat Google hun accounts dicht heeft gezet om wille van 'verdachte activiteit' en de gebruiker richting account recovery duwt - waarna deze een scherm getoond krijgen: "sorry, op het moment kunnen we je niet helpen je account te herstellen - want er is geen herstelmogelijkheid gekoppeld."

Beveiliging en antivirus
Privacy
Google

@R4gnax • 10 juni 2025 10:39

MFA via de telefoon is gewoon slecht. Zorg dat je goede MFA opzet, bijvoorbeeld met TOTP. Of gebruik passkeys. Vandaag nog mensen gaan verplichten een telefoonnummer op te geven is teruggaan naar de jaren '00.

zordaz @Blokker_1999 • 10 juni 2025 10:46

Dat klopt, alleen gaat het hier natuurlijk om de backup/fallback functie. Dan vind ik het nog wel enigszins logisch.

Beveiliging en antivirus
Privacy
Google

@zordaz • 10 juni 2025 10:52

En daar heb je ook weer voldoende alternatieven voor zonder dat je iets moet ogpeven dat, bij diefstal, een relatief groot privacy risico vormt.

Beveiliging en antivirus
Privacy
Google

@Blokker_1999 • 10 juni 2025 10:51

Zorg dat je goede MFA opzet, bijvoorbeeld met TOTP. Of gebruik passkeys.

Dat zijn dan ook de enige twee echt goede keuzes, gezien die (zoals nu gebruikt) onafhankelijk zijn van centrale partijen.

Vandaag nog mensen gaan verplichten een telefoonnummer op te geven is teruggaan naar de jaren '00.

Verzamelen van telefoonnummers kan meerdere redenen hebben:
• Het is een rem op het aanmaken van meerdere accounts.
• Bruikbaar voor account recovery (maar niet als enkele/enige factor).
• Commerciële belangen (profilering gebaseerd op gebruik meerdere accounts met hetzelfde telefoonnummer).

Ik zeg niet dat ik het eens ben met die redenen, maar Google doet het niet enkel voor authenticatie. Authenticatie via enkel SMS als 2e factor wordt zelfs afgeraden.

Het zal dus niet snel gebeuren dat Google ophoudt met het verzamelen van telefoonnummers.

[Reactie gewijzigd door The Zep Man op 10 juni 2025 13:09]

@Blokker_1999 • 10 juni 2025 11:57

Mensen eerst een TOTP app laten installeren of het precipice van een passkey uitleggen is voor Google mogelijk een te grote drempel. (al ben ik het wel met je eens)

cricque @Blokker_1999 • 10 juni 2025 13:45

Niet iedereen is een tweaker, voor veel mensen is een wachtwoord onthouden en/of verschillende wachtwoorden gebruiken al een heel stukje. De meest gebruikte functie in een applicatie is wachtwoord reset. En een wachtwoordmanager, nee dat krijg je ook niet verkocht aan een heel groot deel van de bevolking. Hier in België is er nu ook van de overheid sprake van 2FA te verplichten. Dat zal dus een gigantische ramp worden. Als Belgische applicatie moet je dit doen, maar buitenlandse applicaties dus niet. Gegarandeerd dat je klanten kwijt bent want het is te omslachtig.

grasmanek94 @R4gnax • 10 juni 2025 10:47

Voor zover ik weet is het niet mogelijk om "geen" telefoon nummer te koppelen, voor registratie is het verplicht bij Google services?

RobertMe @grasmanek94 • 10 juni 2025 10:50

Tenzij je een oud account hebt natuurlijk. Mijn Google account is uit de tijd dat je voor Gmail nog een invite nodig had. En toen vroegen ze nog niet naar een telefoonnummer.

Google kan/mag mij nu zo vaak als ze willen vragen om een herstelnummer toe te voegen, maar dat weiger ik. En v.w.b. accountbeveiliging heb ik al een aantal jaren een YubiKey gekoppeld.

morten @grasmanek94 • 10 juni 2025 11:12

Het is alweer een tijd geleden dat ik het getest heb, maar in het verleden was het mogelijk om tijdens de registratie (aanmaken van google ID) een telefoonnummer op te geven en zodra het account was aangemaakt kon je de telefoongegevens verwijderen. Dit werkte zowel voor het herstelnummer als voor het telefoonnummer voor registratie.

Dit betekende overigens wel dat je een wachtwoord herstel optie mist.

Privacy

@morten • 10 juni 2025 18:35

De nummers wissen kun je (volgens hun courante documentatie - althans) nog steeds.
Heb je je telefoonnummer op een bepaalde manier aan je Google account gekoppeld, dan wordt deze namelijk automatisch Google-breed beschikbaar voor allerlei Google-diensten en dient deze niet alleen geisoleerd als nummer voor 2FA of account-herstel.
De oplossing om dat te rectificeren is je nummer op de pagina met algemene account gegevens eerst te verwijderen, en daarna op de pagina specifiek voor login en account-herstel het nummer daar toe te voegen.

vickypollard @R4gnax • 10 juni 2025 10:50

Wie zijn velen in dit geval? Ik zou aannemen dat de meeste mensen die geen telefoonnummer aan hun Google-account hebben gekoppeld simpelweg nog niet in een situatie zijn beland waar dat gevraagd of vereist werd door Google. De meeste mensen zijn niet zo erg bezig met dit soort security/privacy problemen.

Olaf van der Spek @R4gnax • 10 juni 2025 11:42

"sorry, op het moment kunnen we je niet helpen je account te herstellen - want er is geen herstelmogelijkheid gekoppeld."

Een herstel email adres kan toch ook?

MVO88 @Olaf van der Spek • 10 juni 2025 13:30

Dat dacht ik ook, tot ik plotseling niet meer kon inloggen op mijn gmail.
Ik had netjes een tweede e-mailadres als hersteladres gekoppeld.
Bij herstel opties maakte ik gebruik van mijn herstel e-mailadres (eerste letter was ingevuld gevolgd door ***, je kent het wel).

Op mijn herstel adres kreeg ik vervolgens netjes een Google Verification Code om toegang tot mijn account te herstellen.
Google says no.... alleen een herstel mailadres is niet voldoende en ik had verder blijkbaar geen andere herstelmogelijkheden ingesteld. (ik was ervan overtuigd dat ik ook een paar herstelvragen moest invullen tijdens de aanmaak van het account, maar google dacht van niet)

TL;DR: ik ben permanent de toegang tot mijn gmail kwijtgeraakt en alles wat daarin stond, genoodzaakt een nieuw e-mailadres te gebruiken. Uiteraard geen gmail meer

Tegenwoordig krijg ik inderdaad de melding die @R4gnax noemt:
You can’t recover your account at this time because Google doesn’t have enough info to be sure this account is yours.
If you want to create a new account to use Google’s services, be sure to add a recovery phone or email address and keep them up to date.

Olaf van der Spek @MVO88 • 10 juni 2025 13:41

If you want to create a new account to use Google’s services, be sure to add a recovery phone or email address and keep them up to date.

Zo klinkt het toch alsof een e-mailadres voldoende zou moeten zijn? Er staat letterlijk "or".

Privacy

@Olaf van der Spek • 10 juni 2025 16:00

Maar dat is klaarblijkelijk dus niet meer hoe het daadwerkelijk werkt.

Ik vermoed dat enkel een herstel email-adres onder bepaalde omstandigheden wel voldoende zal zijn.
Bijv. als je in probeert te loggen vanaf een bekend IP adres; een bekende geo-locatie; een browser met eenzelfde fingerprint; etc. Zolang er maar voldoende overeenkomstige verborgen factoren zijn die Google al automatisch kan valideren.

En kan dat niet, en er zijn meer handmatig te overleggen factoren nodig wil Google je afdoende vertrouwen; dan ben je op dat moment de bok.

[Reactie gewijzigd door R4gnax op 10 juni 2025 16:08]

Die_ene_gast @R4gnax • 10 juni 2025 12:23

Sowiewso is het niet handig om dit soort services met je mail toe te vertrouwen. Ze kunnen je bannen en dan ben je je toegang tot ALLES kwijt, omdat je simpel je mail niet meer kan veranderen. Dus ook een wachtwoord reset == niets.

En ja je hebt wachtwoord managers, maar je wilt toch niet dat er onverhoopt iets fout gaat en je dan je account locked zonder herstelmogelijkheid?

PaulHelper @Die_ene_gast • 10 juni 2025 13:15

Op zich terecht, maar ben zelf ook nog afhankelijk van voor mij de grote twee, Microsoft en Google.
Ik vind email adressen belangrijk en probeer wel veel over te gaan op forward adressen die ik makkelijk kan veranderen, daarmee is het deels beter maar niet opgelost aangezien ik ook mijn hoofd email op bepaalde plekken (moet) gebruik(en).
Als ik overstap wil ik zeker zijn dat ik er de komende 10jaar het liefst langer mee kan doen en niet de monopoly gaat misbruiken.
Zijn er dus gratis alternatieven die hier aan voldoen of partijen die garanderen dat ze niet ineens super duur gaan worden want je zit toch al bij hun.

Privacy

@PaulHelper • 10 juni 2025 16:02

Het meest irritante is andere services die nog op een oude voet werken en een email adres voor herstelmogelijkheden gebruiken, waar je alleen een ander email adres in kun invullen door eerst even een mailtje te bevestigen op het oude adres.

Dat is misschien ergens nog te begrijpen, waar de email soort-van als two-factor gebruikt wordt.
Maar gloeiende, gloeiende rotmoord -- als je zelf de legitieme gebruiker bent die het juiste wachtwoord heeft en je kunt je contactgegevens niet meer aanpassen omdat je dat oude email adres om wat voor reden dan ook kwijt bent ...

[Reactie gewijzigd door R4gnax op 10 juni 2025 16:04]

Die_ene_gast @R4gnax • 11 juni 2025 08:20

Waar zijn dan de services waarbij je niet je mail voor dat soort spul moet gebruiken?
Ik heb dat dus gehad, google account gebanned (reden wacht ik nog steeds op, dit was 15 jaar geleden), maar heel veel dingen heb ik gewoon moeten laten gaan. Want mail je ze dat je geen toegang hebt tot je mail, gaan ze je logischerwijs niet geloven.

Privacy

@Die_ene_gast • 11 juni 2025 09:30

Waar zijn dan de services waarbij je niet je mail voor dat soort spul moet gebruiken?

Meestal zijn dat diensten die je 'in de echte wereld' afgesloten hebt en die toevallig ook een digitaal portaal hebben. Daar is dan vaak nog een mogelijkheid om via andere mogelijkheden weer toegang tot een account kunt krijgen, of toch een ander hersteladres opgevoerd kunt krijgen.

Die_ene_gast @R4gnax • 11 juni 2025 13:42

Ahhh ja. Dan is het ook logisch dat het zonder je mail kan, je kan je namelijk anders identificeren.

Die_ene_gast @PaulHelper • 11 juni 2025 08:19

Ik gebruik protonmail, gratis en werkt al jaren goed.

PaulHelper @Die_ene_gast • 11 juni 2025 08:36

Ik heb ook al een zelfs mooie protonmail, en gebruik proton ook best wat maar nog niet echt de mail kant. Misschien dan toch maar eens kijken of het goed genoeg is voor mijn dagelijkse gebruik.
Enige wat ik eerder een beetje tegen had was dat het niet makkelijk integreert in andere clients. Op windows kun je volgens mij nog een bridge ofzo draaien voor outlook maar op android moet je de proton cliënt gebruiken.
En ik wil opzich ook bij 1 mail client blijven maar dat is dan niet echt mogelijk met een ander adres wat zeer zeker nodig is, alleen al tijdens de overgangsperiode die met een mailadres vrij lang is.

[Reactie gewijzigd door PaulHelper op 11 juni 2025 08:39]

Die_ene_gast @PaulHelper • 11 juni 2025 08:43

Voor android heb ik de app, op mijn desktop heb ik gewoon een tabje pinned in microsoft. Persoonlijk heb ik dan weer minder software op mijn desktop die mogelijk exploitable is.

10 juni 2025 10:32

5000 is een wisselgeld gezien het potentieel van deze bug. Maar toch fijn dat bug bounties in het leven is geroepen.

@Vaatdoek82 • 10 juni 2025 10:53

Ik vind dit altijd zo een vaag argument. Alsof standaard over gaan naar de darkside als ze niet genoeg betaald krijgen. Wellicht moeten we ons afvragen waarom mensen zo snel geneigd zijn over te stappen richting criminele stappen.

Iemand die prima rond kan komen, geen geld zorgen heeft, en relatief weinig zorgen heeft, gaat dat niet allemaal op het spel zetten als die wat euros meer kan krijgen.

Ik liep onlangs op straat, zag dat er een sleutelbos in de deur hing, en belde dus aan bij die mensen, persoon doet op, ik zeg joh je sleutels zitten er in. "oh shit, thanks". Stel deze persoon had mij een briefje van 5 euro gegeven als bedankje, had ik dan moeten zeggen "dat is wisselgeld gezien het potentieel van wat je in huis hebt staan"?

Ik snap dat de bughunters het hun werk is en ik toevallig langs iemands huis liep, en dat het terrecht is dat deze mensen hier een vergoeding voor krijgen, zoals dat mensen in de sales ook betaald worden op basis van wat ze verkopen (en hier dus op basis wat ze vinden). Maar ik vind het zo raar om maar aan te nemen dat mensen standaard crimineel worden

@jaenster • 10 juni 2025 11:14

Ik ben het grotendeels met je eens, en vind het ook een mooie vergelijking, maar je aanname dat deze mensen toch al prima verdienen gaat niet altijd op. Dit kan ook je hoofdinkomen zijn. Het ondernemersrisico dat je niks vindt ligt dan ook bij de onderzoeker zelf. Het aanbellen wat je zei, heel mooi dat je het deed, maar was een kleine moeite. Dit soort bug bounty werk kan zo dagen kosten, als het een simpele is. Je moet het namelijk wel goed uitwerken, alleen een mailtje met dat je iets geks per ongeluk tegen komt en denkt dat er iets achter kan zitten is niet genoeg.

Misschien is een vergelijking met wat dit per uur zou hebben gekost als je er iemand vooraf voor had ingehuurd dit te fixen. Wie weet was €5000 dan alsnog redelijk ten opzichte van hoeveel werk het de onderzoeker kostte hoor, ik weet niet hoe veel tijd er hier in is gegaan ofc.

@Chiwn • 10 juni 2025 12:13

Ik bedoel meer dat als we er voor zorgen dat je een fine maar sober leven hebt als je een minimaal inkomen hebt, er relatief weinig noodzaak is om andere paden te bewandelen. Wellicht iets te politiek beladen voor op tweakers, maar ik denk dat een symtoom bestrijden ipv de oorzaak met dit soort argumenten.

Het is niet meer dan fair dat iemand netjes betaald krijgt voor diens werk. Maar ik ga ook niet naar mijn baas met "als ik de cijfers van het bedrijf verkoop op het darkweb, kan ik meer verdienen, waarom betaal je niet meer". Dat is gewoon chantage

@jaenster • 10 juni 2025 14:55

Interessant punt, geluid wat ik nog niet zo eerder gehoord heb

thanks for sharing

Bux666 @jaenster • 10 juni 2025 12:00

Mooie actie van die sleutelbos. Ook meermaals meegemaakt (echt!).
Dan nu de vraag: wat als je weet dat er ergens in die wijk een busje staat waar je € 20.000 krijgt als je bij hun een 'verse' sleutelbos met straat & huisnummer inlevert. Zou je dan nog aanbellen?

Die_ene_gast @jaenster • 10 juni 2025 12:24

Degene die goed rondkomt hoeft ook geen crimineel geld. Daar zit de crux.
Er zijn meer mensen die niet goed rondkomen die zoeken naar dit soort spul. Of wel goed rondkomen maar werken voor een drieletterafdeling van een land.

@Die_ene_gast • 10 juni 2025 16:23

Zeg dat tegen tagi en zijn cornuiten, Enz
Voor sommige onder ons telt alleen het geld dat ze kunnen binnenhalen, ongeacht hoeveel slachtoffers/doden er moeten vallen.

Die_ene_gast @biomechanical • 11 juni 2025 08:18

Goed rondkomen doelt men uiteraard op dat men legaal goed rondkomt.

@jaenster • 10 juni 2025 11:55

Ik ben ook niet echt thuis in de bugbounty wereld maar het lijkt mij dat het voor sommigen ook gewoon werk is i.p.v. alleen even hobbyen. Goederen in een huis is natuurlijk wel van een geen vergelijking met Google's beurswaarde met 10% naar beneden i.v.m. een datalek. Het lijkt mij dan ook niet eenvoudig om een dusdanig lek/bug in Google's beveiliging te zoeken.

passingFables @Vaatdoek82 • 10 juni 2025 12:02

Nergens staat dat Google verplicht is om een vergoeding te geven die evenredig is aan de potentiële schade of waarde van de bug. Sterker nog, ze behouden zich altijd het recht voor om geen beloning te geven, zelfs bij een geldige melding/rapportage.

Jeroen hofman 10 juni 2025 10:29

dit vorig jaar ook al ergens gelezen, bizar dat er nu een oplossing komt

dez11de @Jeroen hofman • 10 juni 2025 12:54

Heel bijzonder.

Heb je een link?

Jeroen hofman @dez11de • 10 juni 2025 22:15

@dez11de
Ik weet niet meer waar ik dat had gelezen, maar dat het C2000 systeem veel problemen heeft in communicatie is al een aantal jaar bekend. dit kon ik nog wel vinden
https://www.firecom.nl/ke...et-falende-c2000-systeem/

dez11de @Jeroen hofman • 11 juni 2025 02:10

Ahja. Je reageert op het verkeerde artikel

.

@Dick Ravestein • 10 juni 2025 10:55

Lijkt me niet waar. Ze doen absoluut fingerprinting en proberen reclame te personaliseren, maar ik ben nog nooit tegengekomen dat google je privedata echt verkocht. Als je een bron hebt hoor ik het graag...

Google

@Dick Ravestein • 10 juni 2025 10:37

Als het te koop is, is dat dus geen bug en klopt het titel wat Tweakers koos juist wel.
Want dat gaat juist om een bug om aan die gegevens te komen

[Reactie gewijzigd door watercoolertje op 10 juni 2025 10:38]

@Dick Ravestein • 10 juni 2025 10:37

Is dit zo, of zijn het onderbuikgevoelens die je nu laat spreken?

Hint: ik zou gokken op het laatste.

Privacy

@Dick Ravestein • 10 juni 2025 18:31

Alle gevens zijn namelijk te koop bij Google!

Google heeft expliciet in hun gebruikersvoorwaarden en privacybeleid staan dat ze persoonsgegevens niet aan derden te koop beschikbaar stellen.

Om te kunnen reageren moet je ingelogd zijn