Gál
8 °C
22 °C

Néha úgy érzed, mintha két valóság létezne?

Több infó

Támogasd a független újságírást, támogasd az Indexet!

Nincs másik olyan, nagy elérésű online közéleti médiatermék, mint az Index, amely független, kiegyensúlyozott hírszolgáltatásra és a valóság minél sokoldalúbb bemutatására törekszik. Ha azt szeretnéd, hogy még sokáig veled legyünk, akkor támogass minket!

Milyen rendszerességgel szeretnél támogatni minket?

Mekkora összeget tudsz erre szánni?

Mekkora összeget tudsz erre szánni?

Kiszivároghatott volna a világ összes Gmail-címe

2014.06.16. 11:53

Egészen mostanáig bárki megszerezhette a világ összes Gmail-fiókjának címét: egy izraeli biztonsági kutató szerint az egészhez nem kellett más, mint egy weboldal címének okos módosítása és rengeteg türelem. 

Oren Hafif olyan hibát talált (és segített befoltozni) a Google rendszerében, amivel több millió, ha nem az összes gmailes címhez lehetett hozzájutni mindössze pár nap alatt. A trükkel nem férhetett hozzá jelszavakhoz vagy más érzékeny adatokhoz, de már a lista is elég mondjuk spammeléshez vagy adathalászathoz. A bug több éve létezhetett.

A hibához a kutató a Gmail egyik kevésbé ismert szolgáltatását használta ki, amellyel hozzáférést adhatunk más felhasználóknak saját fiókunkhoz. Halif rájött, hogy egyszerűen át lehet írni az URL-jét azoknak az oldalaknak, amik akkor jelennek meg, ha valaki elutasította a hozzáférést fiókjához. Az oldalon megjelent emailcíme is, az URL átírásával lekérdezett oldalakon pedig mások címeit találta. A folyamatot automatizálta, így két óra alatt több mint 37 ezer emailcímhez jutott hozzá. Egy idő után a Google robotok elleni védelme letiltotta a kutatót, de könnyedén kijátszotta a tiltást is.  

Trustwave tesztelőjeként dolgozó szakértő szerint a lekérdezés a végtelenségig folytatható, így elméletileg az összes fiókhoz hozzá lehet jutni. Ráadásul nemcsak a gmail.com végződésű emailcímekhez, hanem minden vállalkozás saját doménes, Gmail-fiókot használó címeihez is, köztük a google.com-osokhoz is.

A Google először nem fizetett a kutatónak a szokásos, jó indulatú hekkereknek járó díjazás szerint, aztán meggondolták magukat, és 500 dollárral jutalmazták a biztonsági rés felfedezését. A Google szóvivője azóta bejelentette, hogy befoltozták a rést.