Image
16.6.2014 0 Comments

Hackeri mohli využitím zraniteľnosti v Gmaile získať adresy všetkých používateľov

gmail-logo-lock.jpg Zraniteľnosť v Gmaile až donedávna umožňovala, aby dômyselný útočník mohol získať zoznam všetkých gmailových účtov na svete. Potreboval by na to len trochu invencie a veľa trpezlivosti.

Bezpečnostný pracovník Oren Hafif našiel a pomohol opraviť chybu v e-mailovej službe Googlu, ktorá mohla byť použitá na vyťaženie miliónov gmailových adries (ak nie všetkých) v priebehu niekoľkých dní či týždňov. Útočník by síce nezískal heslá a ani prístup k používateľským účtom, no mohol by získané adresy využiť na spamovanie či phishing. Pritom je možné, že chyba existuje už celé roky.

Pri útoku sa mohla použiť menej známa funkcia Gmailu na zdieľanie účtu, umožňujúca používateľovi „delegovať" inému účtu prístup k svojmu účtu. Hafif zistil, že ak zmení čo aj jediný znak v adrese stránky, ktorou vám Gmail oznámi, že na prístup k nejakému účtu nemáte oprávnenie, získa adresu účtu, ku ktorému sa práve snaží dostať. Keď automatizoval zmenu znaku pomocou softvéru DirBuster, v priebehu dvoch hodín sa mu podarilo nazbierať 37 000 gmailových adries.

„Mohol by som to robiť potenciálne donekonečna," povedal Hafif, ktorý sa zaoberá penetračnými testami pre izraelskú bezpečnostnú firmu Trustwave. „Mám všetky dôvody domnievať sa, že by som tak mohol získať všetky adresy v Gmaile."

Chyba neohrozovala len individuálnych používateľov, hacker mohol vyťažiť aj adresy firiem, ktoré využívajú Gmail. V jednej chvíli síce ochrana Googlu proti automatickým botom Hafifovu činnosť zastavila, ale stačilo zmeniť časť adresy a mohol zase pokračovať. Hacker by mohol použiť napríklad Tor alebo inú metódu anonymizácie a úplne nepozorovane zostaviť celú databázu adries používateľov Gmailu. Následne by ju mohol zneužiť na rozosielanie spamu.

Google síce chybu opravil, ale odmietol Hafifovi zaplatiť za jej nahlásenie. Neskôr mu vyplatil 500 dolárov, čo je pomerne malá suma v porovnaní s desaťtisícdolárovými odmenami, ktoré rozdáva za odhalenie vážnych zraniteľností.

Výskumník bol vyplatenou sumou sklamaný. „Len si predstavte, koľko peňazí by boli ochotní zaplatiť spameri či niektoré krajiny (Čína?) za zoznam všetkých účtov Googlu," píše na svojom blogu.

Zdroj: wired.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá