Σοβαρό κενό ασφαλείας στο Gmail μπορούσε να αποκαλύψει όλες τις διευθύνσεις στον καθένα [Video]

gmail-sign-google

Όπως ενημερώνει σε δημοσίευμα της η ιστοσελίδα Wired, μέχρι πολύ πρόσφατα σχεδόν οποιοσδήποτε θα μπορούσε να πάρει στα χέρια του μια λίστα με όλες τις διευθύνσεις Gmail εκμεταλλευόμενος ένα bug στην υπηρεσία. Η ανακάλυψη έγινε από τον ερευνητή ασφαλείας Oren Hafif, ο οποίος ενημέρωσε τη Google και βοήθησε στην επιδιόρθωση του προβλήματος που υπήρχε για πολλά χρόνια.

Ο Hafif ανακάλυψε το bug όταν δοκίμασε μια επιλογή account-sharing στο Gmail και βρέθηκε σε μια σελίδα που δεν του έδινε εξουσιοδότηση για την πρόσβαση στο λογαριασμό ενός άλλου χρήστη και του εμφάνιζε τη διεύθυνση email του εν λόγω τυχαίου χρήστη. Από εκεί, πείραξε ένα μόνο γράμμα του URL και κάθε φορά του εμφάνιζε διαφορετική διεύθυνση email. Στη συνέχεια αυτοματοποίησε την αλλαγή στο γράμμα του URL με το πρόγραμμα DirBuster και κατάφερε να μαζέψει 37.000 διευθύνσεις Gmail μέσα σε 2 ώρες.

Η Google αποζημίωσε τον Hafif πληρώνοντας μόλις $500 (!) και αρνήθηκε να σχολιάσει περαιτέρω το ζήτημα, ένα ποσό τραγικά αστείο για τη σοβαρότητα της υπόθεσης. Όπως λέει και ο Hafif, σκεφτείτε τι θα πλήρωνε ένας spammer, μια διαφημιστική εταιρεία ή μια κυβέρνηση για να έχει όλες τις διευθύνσεις Gmail...

[via]

Loading