Google залатала дыру в безопасности Gmail, которую не замечали годами
 

Компания Google на днях избавилась от весьма неприятного бага, который, судя по всему, уже несколько лет присутствовал в системе безопасности сервиса электронной почты Gmail.

 
Google залатала дыру в безопасности Gmail, которую не замечали годами
 

Уязвимость обнаружил исследователь Орен Хафиф. Он выяснил, что можно без проблем получить адреса электронной почты других пользователей Gmail, открывая страницу отказа в делегированном доступе к аккаунтам других пользователей. Если удалить символ из URL данной страницы, то Google услужливо подскажет, что вы отказывали в доступе другому пользователю с другим адресом электронной почты. С помощью этого бага и программного обеспечения DirBuster для автоматизации замены символов URL Хафиф смог собрать около 37 000 различных адресов электронной почты всего за несколько часов и эта цифра далеко не предел. И если баг действительно был в системе так долго, то, потенциально, каждый пользователь сервиса может быть в зоне риска.

После выявления бага Google понадобился ещё целый месяц, чтобы залатать дыру. И сперва они отказывались от выплаты Хафифу вознаграждения по программе поиска и исправления багов и эксплойтов в системе. Но спустя некоторое время всё же заплатили ему премию в размере $500, что несоизмеримо мало в сравнении с активами компании и её затратами в области обеспечения безопасности своих продуктов. Трудно представить, какую сумму могли бы заплатили желающие получить список всех учётных записей Google.


Интернет магазин PALETA
г. Донецк, пр-т Дзержинского, 49б
Тел.: (062) 386-87-87
Моб. тел.: (066) 766-09-30
Моб. тел.: (071) 332-62-94
E-mail: shop@paleta.com.ua


пожаловаться директору