Image
16.6.2014 0 Comments

Hackeri mohli využitím zraniteľnosti v Gmaile získať adresy všetkých používateľov

gmail-logo-lock.jpg Zraniteľnosť v Gmaile až donedávna umožňovala, aby dômyselný útočník mohol získať zoznam všetkých gmailových účtov na svete. Potreboval by na to len trochu invencie a veľa trpezlivosti.

Bezpečnostný pracovník Oren Hafif našiel a pomohol opraviť chybu v e-mailovej službe Googlu, ktorá mohla byť použitá na vyťaženie miliónov gmailových adries (ak nie všetkých) v priebehu niekoľkých dní či týždňov. Útočník by síce nezískal heslá a ani prístup k používateľským účtom, no mohol by získané adresy využiť na spamovanie či phishing. Pritom je možné, že chyba existuje už celé roky.

Pri útoku sa mohla použiť menej známa funkcia Gmailu na zdieľanie účtu, umožňujúca používateľovi „delegovať" inému účtu prístup k svojmu účtu. Hafif zistil, že ak zmení čo aj jediný znak v adrese stránky, ktorou vám Gmail oznámi, že na prístup k nejakému účtu nemáte oprávnenie, získa adresu účtu, ku ktorému sa práve snaží dostať. Keď automatizoval zmenu znaku pomocou softvéru DirBuster, v priebehu dvoch hodín sa mu podarilo nazbierať 37 000 gmailových adries.

„Mohol by som to robiť potenciálne donekonečna," povedal Hafif, ktorý sa zaoberá penetračnými testami pre izraelskú bezpečnostnú firmu Trustwave. „Mám všetky dôvody domnievať sa, že by som tak mohol získať všetky adresy v Gmaile."

Chyba neohrozovala len individuálnych používateľov, hacker mohol vyťažiť aj adresy firiem, ktoré využívajú Gmail. V jednej chvíli síce ochrana Googlu proti automatickým botom Hafifovu činnosť zastavila, ale stačilo zmeniť časť adresy a mohol zase pokračovať. Hacker by mohol použiť napríklad Tor alebo inú metódu anonymizácie a úplne nepozorovane zostaviť celú databázu adries používateľov Gmailu. Následne by ju mohol zneužiť na rozosielanie spamu.

Google síce chybu opravil, ale odmietol Hafifovi zaplatiť za jej nahlásenie. Neskôr mu vyplatil 500 dolárov, čo je pomerne malá suma v porovnaní s desaťtisícdolárovými odmenami, ktoré rozdáva za odhalenie vážnych zraniteľností.

Výskumník bol vyplatenou sumou sklamaný. „Len si predstavte, koľko peňazí by boli ochotní zaplatiť spameri či niektoré krajiny (Čína?) za zoznam všetkých účtov Googlu," píše na svojom blogu.

Zdroj: wired.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Bezpečnosť

Pravidlá ochrany súkromia budú platiť aj pre WhatsApp, Facebook Messenger, Skype, Gmail, iMessage a Viber

12.01.2017 00:12

Stále viac Európanov komunikuje elektronicky. Na dennej alebo takmer dennej báze používa mobil na telefonovanie a písanie správ 74 percent Európanov. Internet denne využíva 60 percent a e-maily posiel ...

Bezpečnosť

KillDisk útočí už aj na operačný systém Linux, ako výkupné za odšifrovanie dát chce 200-tisíc eur

10.01.2017 00:24

Výskumníci z bezpečnostnej spoločnosti ESET objavili variant škodlivého kódu KillDisk, ktorý útočí aj na operačný systém Linux. KillDisk je škodlivý kód, ktorý bol na sklonku roka 2015 použitý pri úto ...

Žiadne komentáre

Vyhľadávanie

qubitconference

Najnovšie videá