За обнаружение «дыры» в Gmail, раскрывшей полмиллиарда адресов, Google заплатил $500

Серьезная уязвимость в Gmail позволяла узнать полные почтовые адреса всех пользователей сервиса. Ошибка была доступна хакерам в течение нескольких лет. Неизвестно, успел ли кто-либо ей воспользоваться.
Корпорация Google устранила серьезную уязвимость в Gmail, позволяющую рассыльщикам спама узнать адреса всех пятисот c лишним миллионов пользователей почтового сервиса, сообщает Wired.
Уязвимость была обнаружена специалистом по информационной безопасности из израильской компании Trustwave Ореном Хафифом (Oren Hafif). Он сообщил о ней в своем блоге после того, как Google устранила уязвимость.
В Google не знали о существовании этой ошибки. Сколько лет она была актуальна, в точности неизвестно. Уязвимость могла быть использована не только для спама, но также фишинга и восстановления паролей к чужим аккаунтам.
Суть бага заключалась в модификации URL-запроса к сервису Gmail. Пользователи Gmail могут предоставлять доступ к своему аккаунту другим пользователям. Эта функция малоизвестна, отмечает Хафиф. Написав небольшое приложение и запустив его на компьютере, злоумышленник мог автоматически перебирать служебные символы в URL-запросе к чужому аккаунту и в конечном счете узнать его полный адрес.
Хафиф с помощью такого приложения смог получить адреса 37 тыс. аккаунтов за 2 часа перебора символов в запросе. Злоумышленник при этом может сохранять анонимность, используя сеть Tor или аналогичный способ, позволяющий скрыть реальный IP-адрес хакерской машины.
Первоначально Google отказалась заплатить Хафифу награду за обнаружение бага, но впоследствии перечислила $500. Это относительно небольшое вознаграждение за информацию об уязвимости, по сравнению с теми, которые Google обычно выплачивает согласно своей корпоративной политике. Хафиф сообщил, что компании потребовался месяц на устранение уязвимости.

Firefox будет предупреждать своих пользователей о «поддельной» выдаче Что делать, если Googlebot не может получить доступ к сайту? Чтобы скачать видео с сайта YouTube, вставьте «ss» в URL между &quo... Исследователи предупреждают о новом способе интернет-мошенничества "Яндекс.Вебмастер" позволит "Проверить URL" Как Google обрабатывает в выдаче страницы с ошибками 404 и 410 В соцсетях сообщили о блокировке YouTube компанией «Акадо» В Firefox запретили вирусам менять новую вкладку Google включит в поисковые результаты данные об источнике информации OnionShare: безопасный файлообмен через Tor