6 月 10 日音讯，谷歌网络安全专家 BruteCat 陈述新的缝隙安全缝隙，仅经过用户的被修谷歌个人资料称号和部分手机号码，就能暴力破解出账户的正最账号康复手机号码 。

BruteCat 发现了一个已被抛弃的快秒无 JavaScript 版别的谷歌用户名康复表单
 ，该表单缺少现代防护机制。破解经过用户的获取号个人资料显现称号（如“John Smith”），进犯者可经过两个 POST 恳求查询与谷歌账户相关的相关手机号码。

BruteCat 使用 IPv6 地址轮转技能
，手机生成很多仅有 IP 地址，谷歌轻松绕过表单的缝隙简略速率约束。一起，被修他经过替换参数和获取有用 BotGuard 令牌
，正最账号成功绕过 CAPTCHA 验证。快秒

终究，他开宣布一款暴力破解东西“gpb”，能以每秒 40000 次恳求的速度
，快速破解手机号码。例如 ，破解美国号码仅需 20 分钟 ，英国 4 分钟，荷兰不到 15 秒 ，新加坡不到 5 秒。

进犯需先获取方针的电子邮箱地址。虽然 Google 上一年已将邮箱设为躲藏
，BruteCat 表明无需与方针互动 ，经过创立 Looker Studio 文档并搬运一切权至方针 Gmail 地址，就能获取方针的显现称号。

此外，使用 Google 账户康复流程可显现康复号码的部分数字（如 2 位） ，结合其他服务（如 PayPal）的暗码重置提示 ，可进一步缩小规模 。附上演示视频如下：

BruteCat 于 2025 年 4 月 14 日经过 Google 缝隙奖赏方案（VRP）陈述此问题。Google 开始评价危险较低 
，但于 5 月 22 日将其晋级为“中等严峻”，并付出研究员 5000 美元奖赏 。

谷歌于 6 月 6 日承认已彻底抛弃该缝隙端点，进犯途径不再可行，但是否曾被歹意使用尚不得而知。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等方式）
 ，用于传递更多信息 ，节约甄选时刻 ，成果仅供参考 ，一切文章均包括本声明  。