Egy kiberbiztonsági kutató olyan sebezhetőséget azonosított, amely lehetővé tette bizonyos Google-fiókokhoz társított helyreállítási telefonszámok kiszivárogtatását. A támadás során elegendő volt a célpont profilneve és egy telefonszám részlet, amelyet nyilvános vagy könnyen hozzáférhető forrásokból is meg lehetett szerezni.
A támadás során megszerzett adatok – például a teljes vagy részleges helyreállítási telefonszámok – jelentős kockázatot jelenthetnek a felhasználókra nézve, különösen, ha azokat célzott adathalász vagy SIM-csere (SIM-swap) támadásoknál használják.
A kihasználás egy korábbi, technológiailag elavult visszaállítási felületen keresztül történt, amely nem tartalmazta a mai biztonsági szabványoknak megfelelő védelmi mechanizmusokat. Ez a felület olyan válaszokat adott, amelyek lehetővé tették annak tesztelését, hogy egy adott névhez és telefonszám-részlethez tartozik-e érvényes fiók. A kutató a támadást jelentős technikai előkészületekkel, valamint automatizált eszközökkel hajtotta végre, amelyek lehetővé tették a nagyszámú kérések gyors és hatékony kezelését.
A sérülékenységet 2025. áprilisában már jelentették a Google felé. Eleinte alacsonynak ítélték meg a hiba kihasználhatóságának kockázatát, majd később közepes súlyosságúvá minősítették át. 2025. június elejére a Google teljes mértékben javította ezt a sebezhetőséget, a támadási vektor már nem használható, viszont arról nincs információ, hogy a sebezhetőséget korábban aktívan kihasználták-e.