谷歌密码恢复页面的缺陷被名为Brutecat的研究人员发现，该缺陷向攻击者暴露了用户的私人联系信息，为网络钓鱼、SIM卡交换和其他攻击打开了大门。

谷歌已经修复了其用于恢复账户详细信息的页面中的安全漏洞，该漏洞允许任何人访问该页面并暴力破解任何用户的私人电话号码。此漏洞对谷歌用户构成了重大风险，因为它使用户面临网络钓鱼和其他攻击的风险。

一位网名为Brutecat的安全研究人员在其网站上详细介绍了在没有JavaScript的情况下，如何实现找回密码页面。这也意味着缺乏BotGuard的保护，BotGuard是一个基于云的网络安全解决方案，旨在保护网站和Web应用程序免受恶意机器人、自动化攻击、爬虫和抓取程序的侵害。

"这让我感到惊讶，因为我曾经认为这些账户恢复表单需要JavaScript，因为它们依赖于从高度混淆的、工作量证明的JavaScript代码中生成的BotGuard解决方案来防止滥用，" Brutecat 在一篇帖子中写道详细介绍了这一发现。

BotGuard在没有JavaScript的网站上无法工作，因为它的许多高级检测技术依赖于在访客的浏览器中执行JavaScript来收集客户端数据，Malwarebytes的研究人员Pieter Arntz在一篇帖子中分析了这个漏洞。

“如果网站不提供JavaScript，或者用户或机器人禁用JavaScript，BotGuard无法收集用于指纹识别或行为分析的必要信息，”他写道。

Brutecat向Google报告了这个漏洞，之后该漏洞已被修复；该研究人员通过Google的漏洞赏金计划获得了5000美元的奖励。（欢迎转载分享）