安全研究人员BruteCat近日披露，通过谷歌一项被忽视的账号找回服务功能，成功暴力破解了部分用户的谷歌账号关联手机号码。尽管谷歌自2018年起已采用JavaScript机器人检测机制防范恶意操作，但BruteCat发现，关闭JavaScript后，账号找回服务仍可运行，允许通过HTTP请求验证邮箱或手机号是否关联账号。

尽管谷歌通过IP访问限制和CAPTCHA验证码加强防护，BruteCat利用IPv6动态地址切换和BotGuard令牌绕过了这些限制。他开发脚本，结合账号绑定的手机号段提示，实现高效破解。测试显示，破解不同国家号码耗时悬殊，新加坡号码最快仅需5秒。

BruteCat已于4月向谷歌提交漏洞报告，获5000美元奖励。谷歌于6月修复该漏洞。