Zranitelné místo v Gmailu by dovolilo útočníkům získat adresy všech uživatelů

0

Bezpečnostní výzkumník Oren Hafif objevil na podzim v Gmailu zranitelné místo, jež pomohl Googlu opravit. Díra, která v e-mailové službě existovala pravděpodobně několik let, nicméně neumožňovala ovládnout něčí účet. Místo toho bylo možné z něj vydolovat e-mailové adresy pravděpodobně všech uživatelů na světě.

Pravděpodobně jste aspoň slyšeli o funkci, s níž pověříte jiný účet, aby měl přístup k vašemu účtu. Hafif zjistil, že když upraví adresu stránky (stačilo změnit jediný znak), prostřednictvím které vám Gmailu sdělí, že k přístupu k nějakému účtu nemáte oprávnění, dostane adresu účtu, k němuž se právě snaží dostat. Procházet stránky po jedné by byla otrava.

 

Jenže proces bylo možné zautomatizovat. Hafif Použil program zvaný DirBuster a za dvě hodiny už měl 37 000 adres uživatelů Gmailu. Prý mu nic nebránilo v těžení dat pokračovat do doby, než by získal každičkou adresu, a to nejen domácích uživatelů. Vzhledem ke stejnému poštovnímu systému by mohl získat i adresy firem, které používají Gmail.

V jeden moment se těžba zastavila, když se servery Googlu začaly bránit. Stačilo ale změnit část adresy a proces pokračoval. Potenciální útočník by použil např. Tor a anonymně by sestavil celou databázi adres uživatelů Gmailu. Ty by se pak daly zneužít k rozesílání spamu apod. Google nejdříve odmítl Hafifovi vyplatit odměnu, později mu dal 500 dolarů.

Což je poměrně malá částka, např. za vážné díry objevené ve Chromu dostávají nálezci větší odměny. Výzkumník je zklamaný a na svém blogu spekuluje, kolik by za takové adresy dostal od nějakého odesílatele spamu.

Zdroj: Oren Hafif via Wired

Zranitelné místo v Gmailu by dovolilo útočníkům získat adresy všech uživatelů

Ohodnoťte tento článek!

1 komentář

  1. I kdyby to výrobce pevných disků vyplavilo jak potkany na ultimo, tak podobné monopolní cenové chování si už tentokrát nebudou moci dovolit. Přece jen za dva roky to cenově i kapacitně na trhu SSD vypadá jinak a podstatně se zvětšila skupina váhajících uživatelů, kteří uvažují, že by přece jen to SSD mohli zkusit. Kdyby šokově zdražili HDD, tak to dopadne jak minule. Kdo ho nepotřebuje nutně, tak bude čekat na pokles cen a kdo bude potřebovat něco na systém, tak se bude zabývat SSD, když by se ceny HDD přiblížily k cenám SSD. Mno a SSD je prudce návyková věc a přijít o pár milionů zákazníků ani pro takový duopol nemusí být zanedbatelné, protože pokud je HDD používáno jako datový sklad, tak se zas až tak často nemění a zůstat jen závislí na odběratelích datových center také nemusí být to pravé ořechové.