Z Gmailu sa dali dolovať adresy užívateľov

Značky: Gmailbezpečnosť

DSL.sk, 12.6.2014

V populárnej webmailovej službe Gmail spoločnosti Google sa nachádzala bezpečnostná chyba, ktorá umožňovala útočníkom hromadne dolovať emailové adresy užívateľov.

Informoval o tom bezpečnostný expert Oren Hafif, ktorý chybu odhalil.

Chyba sa nachádzala vo funkčnosti pre delegovanie prístupu k Gmail účtu iným užívateľom služby, keď sa adresy dali získavať cez stránku zobrazovanú po kliknutí na URL určenú pre odmietnutie ponuky na takýto prístup.

Stránka štandardne informuje o emailovej adrese účtu, ponuku na prístup ku ktorému užívateľ odmietol. Gmail ale pôvodne túto adresu generoval z tokenu nachádzajúceho sa v URL, pričom po zmene tohto tokenu na ľubovoľný rovnakého formátu Gmail prezrádzal ďalšie adresy.

Prezrádzané pritom neboli len Gmail adresy ale aj firemné a ďalšie adresy, ktoré využívajú službu Google Apps umožňujúcu využívať webmail Google s vlastnou doménou.

Podľa tvrdenia Hafifa Gmail takto prezrádzal adresy úplne všetkých užívateľov Gmailu a webmailových služieb Google. Táto informácia ale nebola spoločnosťou potvrdená, keď mohlo ísť napríklad o špecifickú podmnožinu adries, napríklad adries ktoré kedy využili funkciu delegovania prístupu k účtu.

Video demonštrujúcu zneužitie zraniteľnosti (video: Oren Hafif)

V každom prípade adresy sa dali dolovať hromadne a Hafif bez väčších komplikácií a bez použitia viacerých IP adries získal za dve hodiny cca 37 tisíc adries.

Chyba neohrozila priamo samotnú bezpečnosť účtov, útočník mohol dolovať len samotné emailové adresy.

Spoločnosť opravila chybu za mesiac po nahlásení, akú dlhú dobu bola chyba prítomná neinformovala. Podľa Hafifa mu pri prvom vyhodnotení v rámci svojho programu odmeňovania nájdených bezpečnostných chýb Google nechcel zaplatiť žiadnu odmenu, až následne po druhom prehodnotení mu priznal odmenu 500 dolárov.




Najnovšie články:



Diskusia:

Krompáče a kosáky! Od: :.:.:.:.: | Pridané: 12.6.2014 11:53 Nabrúsiť krompáče a dolovať! Odpovedať Známka: 9.0 Hodnotiť:

Re: Krompáče a kosáky! Od: Klovatina | Pridané: 12.6.2014 12:03 Dalsi minecraftak Odpovedať Známka: 8.3 Hodnotiť:

jankoooooo Od: 'PPQ' | Pridané: 12.6.2014 12:18 toto nje je as taka vichra Odpovedať Známka: -4.5 Hodnotiť:

Re: jankoooooo Od: do piči | Pridané: 12.6.2014 20:10 jebeš s vlastnou matkou, ty kokot? Odpovedať Známka: -7.7 Hodnotiť:

Re: jankoooooo Od: joskooooooo | Pridané: 13.6.2014 15:37 achooooj jankoooo mas praudu toto neije siatna tolesita vichra takujem vsetkich se sisi to uvetomil Odpovedať Známka: 7.5 Hodnotiť:

...... Od: kus vola | Pridané: 12.6.2014 12:21 To by sa mu možno viac oplatilo to predať dákym spamerom :-) Odpovedať Známka: 8.3 Hodnotiť:

Re: ...... Od: tamtung | Pridané: 12.6.2014 21:57 tak tomu ver, tam by si prilepsil, moj odhad, o 4 nuly.. Odpovedať Hodnotiť:

Re: ...... Od: tamtung | Pridané: 12.6.2014 21:57 ak to teda nemalo obmedzenie pri 40K mailoch napr Odpovedať Hodnotiť:

Re: ...... Od reg.: TheHacker | Pridané: 12.6.2014 23:34 Ved to stale moze. Odpovedať Známka: 10.0 Hodnotiť:

Ja to robim uz roky Od: birkos | Pridané: 12.6.2014 12:29 Ja to robim uz roky, mam automatizovany proces na to ... dufam ze to neopravia Odpovedať Známka: -3.3 Hodnotiť:

Re: Ja to robim uz roky Od: sadfsd | Pridané: 12.6.2014 12:31 Vsak im napis, dostanes 500 dolarov a dobry pocit. Odpovedať Známka: 7.9 Hodnotiť:

Re: Ja to robim uz roky Od: wdfgsdfd | Pridané: 12.6.2014 12:40 a dorucia ho dvaja postari v zelenom na aute s majakom... :-) Odpovedať Známka: 8.1 Hodnotiť:

Re: Ja to robim uz roky Od: pipik1 | Pridané: 12.6.2014 12:42 to ako lesna straz? Odpovedať Známka: 9.5 Hodnotiť:

doddifosddifosdi Od: lolelelel | Pridané: 12.6.2014 12:43 dobry fail google na multi miliardovu spolocnost je to hanba. Odpovedať Známka: 1.7 Hodnotiť:

Re: doddifosddifosdi Od: karolkooooo | Pridané: 12.6.2014 12:58 Zial, to je vizitka dnesnej skur*enej doby - firmy sa snazia co najviac setrit, takze na druhe meranie pred strihanim nie je cas ani peniaze. Teda peniaze by aj boli, ale "marketingova logika" vravi, ze treba minut co najmenej penazi a spravit co najviac neskontrolovanej roboty. Pretoze firme nestaci zarobit miliardu, firma "potrebuje" miliardu miliard. No hotove nekonecno :( Odpovedať Známka: 7.9 Hodnotiť:

achjaj Od: Jaa1 | Pridané: 12.6.2014 12:43 Tým váhavým vyplatením smiešnych 500 doláčov dal gogál jasne najavo,že nestojí o to,aby ICH bezpečnostné "chyby" niekto odhaloval.Už dávno stratili dobré meno. Odpovedať Známka: 8.1 Hodnotiť:

Bože, to sú problémy... Od: 4Maniak. | Pridané: 12.6.2014 13:02 Som nevedel že emailová schránka je nejaká tajná vec... :-) Odpovedať Známka: -7.0 Hodnotiť:

Re: Bože, to sú problémy... Od: leader80 | Pridané: 12.6.2014 13:24 S ksichtom tiez chodis verejne po ulici ale nechces aby mal tvoju foto hocikto Odpovedať Známka: 7.2 Hodnotiť:

Re: Bože, to sú problémy... Od: 4Maniak. | Pridané: 12.6.2014 13:36 Ale ako vieš komu patrí ten ktorý email? Iba chuj si ho v dnešnej dobe podpíše a bude kade-tade po dokumentoch vypisovať... Odpovedať Známka: -6.7 Hodnotiť:

Re: Bože, to sú problémy... Od: Jaa1 | Pridané: 12.6.2014 14:22 Napríklad spamerom je šumafuk komu patrí ktorý mail.Ide o to aby bol existujúci ešte lepšie aktívny,nie fiktívny.Údajne 1-5 centov za kus.Čiže Hafif si za dve hoďky mohol zarobiť 370$ Odpovedať Známka: 7.8 Hodnotiť:

Re: Bože, to sú problémy... Od: 4Maniak. | Pridané: 16.6.2014 11:08 Na to vôbec nepotrebujem vedieť či nejaký email je existujúci... Skrátka generujem nejaké postupnosti znakov. Je to najhlúpejší spôsob. Odpovedať Hodnotiť:

Re: Bože, to sú problémy... Od: karolkooooo | Pridané: 12.6.2014 16:05 Akoto, ze nechcem? Kiez by chodili po ulici vsetci v tricku, na ktorom by bola moja tvar :D Odpovedať Známka: 1.1 Hodnotiť:

Re: Bože, to sú problémy... Od: Jaa1 | Pridané: 12.6.2014 13:36 Ani tvoje osobné údaje nie je nič tajné,má ich každý úrad,ale keď ich chce niekto nový použiť potrebuje tvoj súhlas. Odpovedať Známka: 6.0 Hodnotiť:

mal ich predat Od: mal ich predat | Pridané: 12.6.2014 13:04 za taketo nieco mohol dostat od reklamných firiem ci hackerov pekny balik.... no co uz za dobrotu na zobrotu :)))) Odpovedať Známka: 9.2 Hodnotiť:

Re: mal ich predat Od reg.: sparta999 | Pridané: 12.6.2014 15:08 a ako vies, ci to najprv nepredal hackarom ? Odpovedať Známka: 2.0 Hodnotiť:

Jednoducho Od: ParaNoik | Pridané: 12.6.2014 13:13 Jednoducho gmining. Odpovedať Známka: 7.5 Hodnotiť:

Re: Jednoducho Od: gcoin | Pridané: 12.6.2014 13:26 na zaciatok je nizka obtiaznost dolovania za kazdu adresu je odmana 50 GCOIN :))) Odpovedať Známka: 7.3 Hodnotiť:

technologia Od: prdlajs | Pridané: 12.6.2014 19:17 Hlavne ze par mesiacov dozadu sa Google chvalil pomaly kazdy mesiac, ze vyplacal odmeny za najdene bezpecnostne chyby radovo v desiatkach az statisicoch dolarov. Tychto $500 do toho nejak nesedi. Asi to predtym boli len PR vytvory zamestnancov Googlu z posledneho teambuildingu. Odpovedať Známka: 7.6 Hodnotiť:

tamtung Od: tamtung | Pridané: 12.6.2014 21:58 zevraj gmail je miliardova firmicka? :D tak preco sa neda simultalne nahravat priloha a pouzivat gtalk, preco ma z gtalk odhlasi? Odpovedať Známka: -2.0 Hodnotiť:

Re: tamtung Od: Hadimrska | Pridané: 13.6.2014 9:01 Lebo máš asi niečo na chuja nastavené. ;) Odpovedať Známka: 8.0 Hodnotiť:

Pridať komentár