Zranitelné místo v Gmailu by dovolilo útočníkům získat adresy všech uživatelů

13. 6. 2014

Sdílet

 Autor: Redakce

Bezpečnostní výzkumník Oren Hafif objevil na podzim v Gmailu zranitelné místo, jež pomohl Googlu opravit. Díra, která v e-mailové službě existovala pravděpodobně několik let, nicméně neumožňovala ovládnout něčí účet. Místo toho bylo možné z něj vydolovat e-mailové adresy pravděpodobně všech uživatelů na světě.

Pravděpodobně jste aspoň slyšeli o funkci, s níž pověříte jiný účet, aby měl přístup k vašemu účtu. Hafif zjistil, že když upraví adresu stránky (stačilo změnit jediný znak), prostřednictvím které vám Gmailu sdělí, že k přístupu k nějakému účtu nemáte oprávnění, dostane adresu účtu, k němuž se právě snaží dostat. Procházet stránky po jedné by byla otrava.

 

Jenže proces bylo možné zautomatizovat. Hafif Použil program zvaný DirBuster a za dvě hodiny už měl 37 000 adres uživatelů Gmailu. Prý mu nic nebránilo v těžení dat pokračovat do doby, než by získal každičkou adresu, a to nejen domácích uživatelů. Vzhledem ke stejnému poštovnímu systému by mohl získat i adresy firem, které používají Gmail.

V jeden moment se těžba zastavila, když se servery Googlu začaly bránit. Stačilo ale změnit část adresy a proces pokračoval. Potenciální útočník by použil např. Tor a anonymně by sestavil celou databázi adres uživatelů Gmailu. Ty by se pak daly zneužít k rozesílání spamu apod. Google nejdříve odmítl Hafifovi vyplatit odměnu, později mu dal 500 dolarů.

Což je poměrně malá částka, např. za vážné díry objevené ve Chromu dostávají nálezci větší odměny. Výzkumník je zklamaný a na svém blogu spekuluje, kolik by za takové adresy dostal od nějakého odesílatele spamu.

bitcoin_skoleni

Zdroj: Oren Hafif via Wired