Pravděpodobně jste aspoň slyšeli o funkci, s níž pověříte jiný účet, aby měl přístup k vašemu účtu. Hafif zjistil, že když upraví adresu stránky (stačilo změnit jediný znak), prostřednictvím které vám Gmailu sdělí, že k přístupu k nějakému účtu nemáte oprávnění, dostane adresu účtu, k němuž se právě snaží dostat. Procházet stránky po jedné by byla otrava.
Jenže proces bylo možné zautomatizovat. Hafif Použil program zvaný DirBuster a za dvě hodiny už měl 37 000 adres uživatelů Gmailu. Prý mu nic nebránilo v těžení dat pokračovat do doby, než by získal každičkou adresu, a to nejen domácích uživatelů. Vzhledem ke stejnému poštovnímu systému by mohl získat i adresy firem, které používají Gmail.
V jeden moment se těžba zastavila, když se servery Googlu začaly bránit. Stačilo ale změnit část adresy a proces pokračoval. Potenciální útočník by použil např. Tor a anonymně by sestavil celou databázi adres uživatelů Gmailu. Ty by se pak daly zneužít k rozesílání spamu apod. Google nejdříve odmítl Hafifovi vyplatit odměnu, později mu dal 500 dolarů.
Což je poměrně malá částka, např. za vážné díry objevené ve Chromu dostávají nálezci větší odměny. Výzkumník je zklamaný a na svém blogu spekuluje, kolik by za takové adresy dostal od nějakého odesílatele spamu.
Zdroj: Oren Hafif via Wired
ČLÁNKY DO MAILU