Ошибка Gmail: обнаружена ошибка КАЖДЫЙ адрес электронной почты

Ошибка в URL-адресах Gmail позволила исследователю безопасности получить доступ к каждому адресу Gmail

Зияющая дыра в безопасности Gmail позволила любому получить доступ к адресам электронной почты каждого пользователя Gmail.

Google исправил ошибку после того, как об этом узнал исследователь безопасности Орен Хафиф. В результате ошибки не могли быть раскрыты пароли или хакеры получили доступ к учетным записям, но они могли сделать людей уязвимыми для фишинговых атак.

Недостаток воспользовался неясной функцией Gmail, которая позволяет пользователям делегировать доступ к своей учетной записи. Эта функция отправляет URL-адрес для подтверждения или отказа в делегированном доступе к учетной записи, но Хафиф заметил, что в нем содержится «токен», часть которого можно изменить для обработки любого адреса Gmail.

Используя инструмент под названием DirBuster, Hafif смог выявить 37 000 адресов Gmail всего за два часа, усилив уязвимость.

Хафиф, исследователь безопасности в Trustwave, сказал, что ничто не может остановить его, пока он не соберет адреса электронной почты всех пользователей Gmail. Используя инструменты анонимности, ничто не помешает злоумышленникам использовать ошибку, даже не будучи обнаруженным.

Как только Google исправил ошибку, Хафиф выпустил видео, объясняющее, как это работает:

Неясно, как долго эта ошибка была активной, хотя функция делегирования Gmail была введена в 2010 году, поэтому, вероятно, она существовала годами.

Google подтвердил, что исправил ошибку, и заплатил Hafif 500 долларов за помощь в предупреждении их об этом в рамках программы вознаграждений за безопасность.