За обнаружение «дыры» в Gmail, раскрывшей полмиллиарда адресов, Google заплатил $500

Серьезная уязвимость в Gmail позволяла узнать полные почтовые адреса всех пользователей сервиса. Ошибка была доступна хакерам в течение нескольких лет. Неизвестно, успел ли кто-либо ей воспользоваться.
Корпорация Google устранила серьезную уязвимость в Gmail, позволяющую рассыльщикам спама узнать адреса всех пятисот c лишним миллионов пользователей почтового сервиса, сообщает Wired.
Уязвимость была обнаружена специалистом по информационной безопасности из израильской компании Trustwave Ореном Хафифом (Oren Hafif). Он сообщил о ней в своем блоге после того, как Google устранила уязвимость.
В Google не знали о существовании этой ошибки. Сколько лет она была актуальна, в точности неизвестно. Уязвимость могла быть использована не только для спама, но также фишинга и восстановления паролей к чужим аккаунтам.
Суть бага заключалась в модификации URL-запроса к сервису Gmail. Пользователи Gmail могут предоставлять доступ к своему аккаунту другим пользователям. Эта функция малоизвестна, отмечает Хафиф. Написав небольшое приложение и запустив его на компьютере, злоумышленник мог автоматически перебирать служебные символы в URL-запросе к чужому аккаунту и в конечном счете узнать его полный адрес.
Хафиф с помощью такого приложения смог получить адреса 37 тыс. аккаунтов за 2 часа перебора символов в запросе. Злоумышленник при этом может сохранять анонимность, используя сеть Tor или аналогичный способ, позволяющий скрыть реальный IP-адрес хакерской машины.
Первоначально Google отказалась заплатить Хафифу награду за обнаружение бага, но впоследствии перечислила $500. Это относительно небольшое вознаграждение за информацию об уязвимости, по сравнению с теми, которые Google обычно выплачивает согласно своей корпоративной политике. Хафиф сообщил, что компании потребовался месяц на устранение уязвимости.

Роскомнадзор временно заблокировал три сайта за экстремизм Число банковских троянов за девять месяцев 2013 г. утроилось Разработан сервис для разоблачения новостей-«уток» Компания Opera, выпустившая осенью прошлого года минималистичный браузер Coast для планшетников Apple, адаптировала приложение для iPhone. Обозреватель включает в себя экспресс-панель Speed Dial для быстрого доступа к сайтам, синхронизацию с iPad-версией Google включит в поисковые результаты данные об источнике информации «Ростелеком» будет блокировать веб-сайты используя DPI В Гугл поступает более 1 млн запросов на удаление пиратских URL в день Entensys обеспечила безопасный интернет-доступ для «Республиканской детской больницы» Коми Новый вирус турецких хакеров заразил более 800 тысяч пользователей Facebook Пароли от 7000 FTP-серверов продаются на форуме