За обнаружение «дыры» в Gmail, раскрывшей полмиллиарда адресов, Google заплатил $500

Серьезная уязвимость в Gmail позволяла узнать полные почтовые адреса всех пользователей сервиса. Ошибка была доступна хакерам в течение нескольких лет. Неизвестно, успел ли кто-либо ей воспользоваться.
Корпорация Google устранила серьезную уязвимость в Gmail, позволяющую рассыльщикам спама узнать адреса всех пятисот c лишним миллионов пользователей почтового сервиса, сообщает Wired.
Уязвимость была обнаружена специалистом по информационной безопасности из израильской компании Trustwave Ореном Хафифом (Oren Hafif). Он сообщил о ней в своем блоге после того, как Google устранила уязвимость.
В Google не знали о существовании этой ошибки. Сколько лет она была актуальна, в точности неизвестно. Уязвимость могла быть использована не только для спама, но также фишинга и восстановления паролей к чужим аккаунтам.
Суть бага заключалась в модификации URL-запроса к сервису Gmail. Пользователи Gmail могут предоставлять доступ к своему аккаунту другим пользователям. Эта функция малоизвестна, отмечает Хафиф. Написав небольшое приложение и запустив его на компьютере, злоумышленник мог автоматически перебирать служебные символы в URL-запросе к чужому аккаунту и в конечном счете узнать его полный адрес.
Хафиф с помощью такого приложения смог получить адреса 37 тыс. аккаунтов за 2 часа перебора символов в запросе. Злоумышленник при этом может сохранять анонимность, используя сеть Tor или аналогичный способ, позволяющий скрыть реальный IP-адрес хакерской машины.
Первоначально Google отказалась заплатить Хафифу награду за обнаружение бага, но впоследствии перечислила $500. Это относительно небольшое вознаграждение за информацию об уязвимости, по сравнению с теми, которые Google обычно выплачивает согласно своей корпоративной политике. Хафиф сообщил, что компании потребовался месяц на устранение уязвимости.

Google накрыла волна запросов на удаление ссылок на пиратский контент. Ежеминутно компания получает 1500 таких требований. Opera 21 всегда показывает полный URL Разработан сервис для разоблачения новостей-«уток» Google ежесекундно получает восемь запросов на удаление пиратских ссылок Новый троян может разорить владельца заражённого Android устройства Операторы связи разблокировали ЖЖ Софт для скачивания музыки из интернета Google получила запрос от RIAA на удаление 50 миллионов пиратских ссылок Мобильные пользователи втрое уязвимее для фишинговых атак Пензенские депутаты предлагают закрывать сайты с пропагандой наркотиков по URL-адресу