Image
16.6.2014 0 Comments

Hackeri mohli využitím zraniteľnosti v Gmaile získať adresy všetkých používateľov

gmail-logo-lock.jpg Zraniteľnosť v Gmaile až donedávna umožňovala, aby dômyselný útočník mohol získať zoznam všetkých gmailových účtov na svete. Potreboval by na to len trochu invencie a veľa trpezlivosti.

Bezpečnostný pracovník Oren Hafif našiel a pomohol opraviť chybu v e-mailovej službe Googlu, ktorá mohla byť použitá na vyťaženie miliónov gmailových adries (ak nie všetkých) v priebehu niekoľkých dní či týždňov. Útočník by síce nezískal heslá a ani prístup k používateľským účtom, no mohol by získané adresy využiť na spamovanie či phishing. Pritom je možné, že chyba existuje už celé roky.

Pri útoku sa mohla použiť menej známa funkcia Gmailu na zdieľanie účtu, umožňujúca používateľovi „delegovať" inému účtu prístup k svojmu účtu. Hafif zistil, že ak zmení čo aj jediný znak v adrese stránky, ktorou vám Gmail oznámi, že na prístup k nejakému účtu nemáte oprávnenie, získa adresu účtu, ku ktorému sa práve snaží dostať. Keď automatizoval zmenu znaku pomocou softvéru DirBuster, v priebehu dvoch hodín sa mu podarilo nazbierať 37 000 gmailových adries.

„Mohol by som to robiť potenciálne donekonečna," povedal Hafif, ktorý sa zaoberá penetračnými testami pre izraelskú bezpečnostnú firmu Trustwave. „Mám všetky dôvody domnievať sa, že by som tak mohol získať všetky adresy v Gmaile."

Chyba neohrozovala len individuálnych používateľov, hacker mohol vyťažiť aj adresy firiem, ktoré využívajú Gmail. V jednej chvíli síce ochrana Googlu proti automatickým botom Hafifovu činnosť zastavila, ale stačilo zmeniť časť adresy a mohol zase pokračovať. Hacker by mohol použiť napríklad Tor alebo inú metódu anonymizácie a úplne nepozorovane zostaviť celú databázu adries používateľov Gmailu. Následne by ju mohol zneužiť na rozosielanie spamu.

Google síce chybu opravil, ale odmietol Hafifovi zaplatiť za jej nahlásenie. Neskôr mu vyplatil 500 dolárov, čo je pomerne malá suma v porovnaní s desaťtisícdolárovými odmenami, ktoré rozdáva za odhalenie vážnych zraniteľností.

Výskumník bol vyplatenou sumou sklamaný. „Len si predstavte, koľko peňazí by boli ochotní zaplatiť spameri či niektoré krajiny (Čína?) za zoznam všetkých účtov Googlu," píše na svojom blogu.

Zdroj: wired.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 2

Prieskum: Aká je pripravenosť bánk a technologických spoločnosti v otvorenom bankovníctve?

18.10.2019 00:00

Smernica PSD2 - známa aj pod označením otvorené bankovníctvo - zavádza bezpečnostné opatrenia nielen pre banky, ale aj pre technologické spoločnosti, ktoré spracovávajú dáta o zákazníkoch. Prieskum p ...

Bezpečnosť

Tile ponúka nové sledovače na peňaženku, bicykel či notebook

10.10.2019 00:02

Spoločnosť Tile, známa svojimi sledovacími príveskami na kľúče a batožinu, má ambície sledovať aj viac vecí. Jej nové zariadenie Tile Slim vo veľkosti kreditnej karty je určené na sledovanie peňaženk ...

Bezpečnosť 3

Čínska sonická zbraň využíva infrazvuk na potlačenie vzbúr a demonštrácií

03.10.2019 00:05

Nová zbraň, ktorú vynašli čínski vedci, využíva nízkofrekvenčné zvukové vlny, ktoré spôsobujú fyzické ťažkosti. Možno ňou prinútiť vzbúrencov, demonštrantov alebo kohokoľvek iného opustiť danú oblasť. ...

Žiadne komentáre

Vyhľadávanie

ITAPA_2019

Najnovšie videá

SlovakiaTech 2019