Компания Google на днях избавилась от весьма неприятного бага, который, судя по всему, уже несколько лет присутствовал в системе безопасности сервиса электронной почты Gmail.

Уязвимость обнаружил исследователь Орен Хафиф. Он выяснил, что можно без проблем получить адреса электронной почты других пользователей Gmail, открывая страницу отказа в делегированном доступе к аккаунтам других пользователей. Если удалить символ из URL данной страницы, то Google услужливо подскажет, что вы отказывали в доступе другому пользователю с другим адресом электронной почты. С помощью этого бага и программного обеспечения DirBuster для автоматизации замены символов URL Хафиф смог собрать около 37 000 различных адресов электронной почты всего за несколько часов и эта цифра далеко не предел. И если баг действительно был в системе так долго, то, потенциально, каждый пользователь сервиса может быть в зоне риска.

После выявления бага Google понадобился ещё целый месяц, чтобы залатать дыру. И сперва они отказывались от выплаты Хафифу вознаграждения по программе поиска и исправления багов и эксплойтов в системе. Но спустя некоторое время всё же заплатили ему премию в размере $500, что несоизмеримо мало в сравнении с активами компании и её затратами в области обеспечения безопасности своих продуктов. Трудно представить, какую сумму могли бы заплатили желающие получить список всех учётных записей Google.