На прошлой неделе Google исправила уязвимость, эксплуатация которой позволяла авторам спам-рассылок узнать адреса всех пользователей почтового сервиса Gmail. Согласно данным SecurityAffairs, в руки кибермошенников могли попасть данные порядка полмиллиарда людей.
Брешь, просуществовавшую в Gmail несколько лет, обнаружил ИБ-эксперт из Trustwave Орен Хафиф (Oren Hafif). При этом за обнаружение столь опасной бреши специалисту выплатили вознаграждение всего лишь в $500. Для того чтобы исправить уязвимость, Google потратила около месяца.
Как следует из сообщении в блоге специалиста, информация об уязвимости была опубликована только после того, как поисковый гигант выпустил исправление. По словам Хафифа, в Google не знали о наличии бреши. Существует вероятность того, что злоумышленники могли эксплуатировать уязвимость также для реализации фишинговых кампаний и восстановления паролей к чужим учетным записям.
Брешь существовала из-за возможности предоставления другим пользователям доступа к учетной записи. В частности, речь идет о модификации URL-запроса к сервису Gmail. Так, используя простое приложение, киберпреступник мог автоматически перебирать служебные символы в URL-запросе к чужой учетной записи. Это, в итоге, позволяло узнать полный адрес пользователя.
Написав собственное приложение, Хафиф узнал адреса 37 тысяч учеток всего за 2 часа перебора символов в запросе.
Отметим, что изначально Google не собиралась выплачивать вознаграждение за обнаружение уязвимости. Кроме того, сумма в $500 является весьма небольшой, учитывая размеры вознаграждений, выплачиваемых согласно корпоративной политике Google.
Источник: SecurityLab
|
