Google заплатил $500 за уязвимость, расскрывшую 500 млн почтовых адресов

Все блоги / Про интернет | 16 июня 2014

Израильский специалист по информационной безопасности нашел уязвимость, которая позволяла узнать полные почтовые адреса всех пользователей Gmail, пишет CNews. В благодарность Орен Хафиф получил лишь 500 долларов.
В Google не знали о существовании этой ошибки. Сколько лет она была актуальна, в точности неизвестно. Уязвимость могла быть использована не только для спама, но также фишинга и восстановления паролей к чужим аккаунтам.

Суть бага заключалась в модификации URL-запроса к сервису Gmail. Пользователи Gmail могут предоставлять доступ к своему аккаунту другим пользователям. Эта функция малоизвестна, отмечает Хафиф. Написав небольшое приложение и запустив его на компьютере, злоумышленник мог автоматически перебирать служебные символы в URL-запросе к чужому аккаунту и в конечном счете узнать его полный адрес.

Хафиф с помощью такого приложения смог получить адреса 37 тыс. аккаунтов за 2 часа перебора символов в запросе. Злоумышленник при этом может сохранять анонимность, используя сеть Tor или аналогичный способ, позволяющий скрыть реальный IP-адрес хакерской машины.

Комментарий Roem.ru: Александр Лямин, генеральный директор HighLoad Lab (разработчик анти-DDoS сервиса Qrator), считает, что найденная брешь - весьма слабая уязвимость. "Получили список ящиков Gmail - и? У Google спам-фильтр весь спам режет прекрасно. Максимум, что может быть - могут подбирать перебором пароли, но это тоже занятие презабавное".

Источник: Roem.ru

Перейти на сайт

Похожие новости