Image
16.6.2014 0 Comments

Hackeri mohli využitím zraniteľnosti v Gmaile získať adresy všetkých používateľov

gmail-logo-lock.jpg Zraniteľnosť v Gmaile až donedávna umožňovala, aby dômyselný útočník mohol získať zoznam všetkých gmailových účtov na svete. Potreboval by na to len trochu invencie a veľa trpezlivosti.

Bezpečnostný pracovník Oren Hafif našiel a pomohol opraviť chybu v e-mailovej službe Googlu, ktorá mohla byť použitá na vyťaženie miliónov gmailových adries (ak nie všetkých) v priebehu niekoľkých dní či týždňov. Útočník by síce nezískal heslá a ani prístup k používateľským účtom, no mohol by získané adresy využiť na spamovanie či phishing. Pritom je možné, že chyba existuje už celé roky.

Pri útoku sa mohla použiť menej známa funkcia Gmailu na zdieľanie účtu, umožňujúca používateľovi „delegovať" inému účtu prístup k svojmu účtu. Hafif zistil, že ak zmení čo aj jediný znak v adrese stránky, ktorou vám Gmail oznámi, že na prístup k nejakému účtu nemáte oprávnenie, získa adresu účtu, ku ktorému sa práve snaží dostať. Keď automatizoval zmenu znaku pomocou softvéru DirBuster, v priebehu dvoch hodín sa mu podarilo nazbierať 37 000 gmailových adries.

„Mohol by som to robiť potenciálne donekonečna," povedal Hafif, ktorý sa zaoberá penetračnými testami pre izraelskú bezpečnostnú firmu Trustwave. „Mám všetky dôvody domnievať sa, že by som tak mohol získať všetky adresy v Gmaile."

Chyba neohrozovala len individuálnych používateľov, hacker mohol vyťažiť aj adresy firiem, ktoré využívajú Gmail. V jednej chvíli síce ochrana Googlu proti automatickým botom Hafifovu činnosť zastavila, ale stačilo zmeniť časť adresy a mohol zase pokračovať. Hacker by mohol použiť napríklad Tor alebo inú metódu anonymizácie a úplne nepozorovane zostaviť celú databázu adries používateľov Gmailu. Následne by ju mohol zneužiť na rozosielanie spamu.

Google síce chybu opravil, ale odmietol Hafifovi zaplatiť za jej nahlásenie. Neskôr mu vyplatil 500 dolárov, čo je pomerne malá suma v porovnaní s desaťtisícdolárovými odmenami, ktoré rozdáva za odhalenie vážnych zraniteľností.

Výskumník bol vyplatenou sumou sklamaný. „Len si predstavte, koľko peňazí by boli ochotní zaplatiť spameri či niektoré krajiny (Čína?) za zoznam všetkých účtov Googlu," píše na svojom blogu.

Zdroj: wired.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť 1

Americké námorníctvo vybaví torpédoborce laserom schopným ničiť drony aj lietadlá

16.07.2019 00:05

Do námorných bojov by sa mohli čoskoro zapojiť laserové zbrane, čím boje na otvorenom mori dostanú novú dimenziu. Do roku 2021 budú americké torpédoborce vybavené lasermi schopnými identifikovať a sp ...

Bezpečnosť

Bezpečnostné kamery Wyze iba za 20 dolárov dokážu pomocou UI identifikovať ľudí

11.07.2019 07:58

Spoločnosť Wyze aktualizovala softvér svojich bezpečnostných kamier, a tak sú trochu inteligentnejšie. Dokážu identifikovať ľudí prostredníctvom umelej inteligencie. Táto funkcia je k dispozícii pre ...

Bezpečnosť

Satelity vás už nájdu kedykoľvek a kdekoľvek na planéte

04.07.2019 00:10

 V roku 2013 polícia v Grants Pass (Oregon, USA) dostala tip, že istý muž nezákonne pestuje marihuanu vo svojom dvore. Skontrolovala preto aplikáciu Google Earth a satelitný obraz spred 4 mesiacov sku ...

q

Žiadne komentáre

Vyhľadávanie

Najnovšie videá