За обнаружение «дыры» в Gmail, раскрывшей полмиллиарда адресов, Google заплатил $500

Серьезная уязвимость в Gmail позволяла узнать полные почтовые адреса всех пользователей сервиса. Ошибка была доступна хакерам в течение нескольких лет. Неизвестно, успел ли кто-либо ей воспользоваться.
Корпорация Google устранила серьезную уязвимость в Gmail, позволяющую рассыльщикам спама узнать адреса всех пятисот c лишним миллионов пользователей почтового сервиса, сообщает Wired.
Уязвимость была обнаружена специалистом по информационной безопасности из израильской компании Trustwave Ореном Хафифом (Oren Hafif). Он сообщил о ней в своем блоге после того, как Google устранила уязвимость.
В Google не знали о существовании этой ошибки. Сколько лет она была актуальна, в точности неизвестно. Уязвимость могла быть использована не только для спама, но также фишинга и восстановления паролей к чужим аккаунтам.
Суть бага заключалась в модификации URL-запроса к сервису Gmail. Пользователи Gmail могут предоставлять доступ к своему аккаунту другим пользователям. Эта функция малоизвестна, отмечает Хафиф. Написав небольшое приложение и запустив его на компьютере, злоумышленник мог автоматически перебирать служебные символы в URL-запросе к чужому аккаунту и в конечном счете узнать его полный адрес.
Хафиф с помощью такого приложения смог получить адреса 37 тыс. аккаунтов за 2 часа перебора символов в запросе. Злоумышленник при этом может сохранять анонимность, используя сеть Tor или аналогичный способ, позволяющий скрыть реальный IP-адрес хакерской машины.
Первоначально Google отказалась заплатить Хафифу награду за обнаружение бага, но впоследствии перечислила $500. Это относительно небольшое вознаграждение за информацию об уязвимости, по сравнению с теми, которые Google обычно выплачивает согласно своей корпоративной политике. Хафиф сообщил, что компании потребовался месяц на устранение уязвимости.

Статьи по теме:

Внедрение через URL: www.site.ru/?jn=xxxxxxxx Google получила запрос от RIAA на удаление 50 миллионов пиратских ссылок Адресная строка: страдает, но не прощается! Google ежесекундно получает восемь запросов на удаление пиратских ссылок Роскомнадзор внес в черный список 46 тысяч ссылок на сайты Cylance: хакеры могут воровать пароли пользователей Windows через службу SMB Как показать полный URL-адрес веб-сайта в Safari на OS X Yosemite В российском сегменте интернета могут ужесточить фильтрацию контента Минкомсвязи доработает антипиратский законопроект Браузер Opera дебютирует на программной платформе Nokia X