主要观点：几个月前作者在浏览器中禁用 JavaScript 测试谷歌服务，发现用户名恢复表单仍可用；深入研究该表单的端点，需两个 HTTP 请求来检查手机号与特定显示名的关联；尝试暴力破解但遭遇 IP 地址限制和验证码，后利用 IPv6 绕过；通过替换 BotGuard 令牌从 No-JS 表单中获取信息，还解决了获取受害者谷歌账号显示名等问题，最终有了完整攻击链，包括通过 Looker Studio 泄露显示名等步骤，还给出了不同国家码所需的暴力破解时间及相关事件的时间线等。
关键信息：用户名恢复表单的两个请求及响应内容、利用 IPv6 绕过限制、获取 BotGuard 令牌的方法、获取受害者显示名的途径等。
重要细节：如不同请求的具体参数、各种国家码的手机格式示例、各个时间节点的事件等。例如，2025 年 4 月 14 日报告发送给供应商，2025 年 6 月 9 日报告披露等。