За обнаружение уязвимости в Gmail, Google заплатил $500

16/06/2014 10:05

Серьезная уязвимость в Gmail позволяла узнать полные почтовые адреса всех пользователей сервиса. Ошибка была доступна хакерам в течение нескольких лет. Неизвестно, успел ли кто-либо ей воспользоваться. Корпорация Google устранила серьезную уязвимость в Gmail, позволяющую рассыльщикам спама узнать адреса всех пятисот c лишним миллионов пользователей почтового сервиса, сообщает Wired. Уязвимость была обнаружена специалистом по информационной безопасности из израильской компании Trustwave Ореном Хафифом (Oren Hafif). Он сообщил о ней в своем блоге после того, как Google устранила уязвимость. В Google не знали о существовании этой ошибки. Сколько лет она была актуальна, в точности неизвестно. Уязвимость могла быть использована не только для спама, но также фишинга и восстановления паролей к чужим аккаунтам. Суть бага заключалась в модификации URL-запроса к сервису Gmail. Пользователи Gmail могут предоставлять доступ к своему аккаунту другим пользователям. Эта функция малоизвестна, отмечает Хафиф. Написав небольшое приложение и запустив его на компьютере, злоумышленник мог автоматически перебирать служебные символы в URL-запросе к чужому аккаунту и в конечном счете узнать его полный адрес. Хафиф с помощью такого приложения смог получить адреса 37 тыс. аккаунтов за 2 часа перебора символов в запросе. Злоумышленник при этом может сохранять анонимность, используя сеть Tor или аналогичный способ, позволяющий скрыть реальный IP-адрес хакерской машины. Первоначально Google отказалась заплатить Хафифу награду за обнаружение бага, но впоследствии перечислила $500. Это относительно небольшое вознаграждение за информацию об уязвимости, по сравнению с теми, которые Google обычно выплачивает согласно своей корпоративной политике. Хафиф сообщил, что компании потребовался месяц на устранение уязвимости.
Источник