Avançar para o conteúdo principal

Falha de segurança do Gmail permitiu obter endereços de email

Os serviços que assentam na Internet estão sujeitos a problemas e a tentativas de exploração de falhas e fragilidades. Vários são os casos conhecidos, alguns com um impacto maior ou menor, mas sempre com problemas para os utilizadores.
A mais recente falha do Gmail que foi conhecida permitia que qualquer um, mal intencionado, pudesse exportar do serviço todos os emails que existem no serviço de email da Google.
gmail_1
A falha do Gmail foi descoberta por um investigador Israelita, Oren Hafif, que mostrou que de uma forma muito simples é possível obter acesso a uma lista de endereços de email do serviço da Google.
A forma encontrada para obter esta lista é através de uma funcionalidade que existe no Gmail e que permite que seja feita a delegação de contas de email a outros utilizadores do serviço, garantindo o acesso sem a troca de qualquer password.
Como a aceitação dessa delegação de conta é feita com recurso a um link do Gmail com um token finito e bem padronizado, foi possível a este investigador gerá-los para que depois, fosse brindado com uma mensagem de erro, onde estava exposto o email de outra conta.
Este mecanismo, quando tornado num processo automatizado, permitiu que Oren Hafif recolhesse mais de 37 mil endereços de email do Gmail, em apenas 2 horas.
A forma simples e não autenticada como este processo decorre pode ter sido aproveitada por qualquer utilizador mal intencionado para recolher endereços de email para depois serem usado para envio de spam, esquemas de phishing ou simplesmente para tentativas de acesso com ataques de dicionário.
Oren Hafif reportou o problema à Google, que de imediato resolveu o problema, mas ficou a dúvida sobre o tempo que esta falha esteve disponível e até se foi aproveitada por alguém.
A Google tem sistemas que previnem a utilização repetida de tentativas de acesso, mas como o recursos a VPN’s ou a redes como o Tor, estes podem ser facilmente contornados.
O vídeo apresentado acima mostra a forma simples como Oren Hafif conseguiu explorar esta vulnerabilidade do Gmail e assim obter os endereços de email.Segundo disse, poderia ter estado durante bastante tempo a executar este processo e assim obter a lista completa dos endereços de email do Gmail.
Este problema não se limitava aos utilizadores do serviço geral da Google, podendo também ser usado para obter os endereços dos utilizadores do serviço de email empresarial da Google.
Apesar de ter acesso a estes dados, nunca foi possível obter qualquer outra informação sobre os utilizadores e muito menos dados como passwords ou tokens de acesso.

Comentários

Enviar um comentário

Mensagens populares deste blogue

Ubuntu 13.10 Saucy Salamander virá com o MIR

Durante o dia de hoje, o mundo Linux assistiu ao anuncio de duas informações antagónicas: Por um lado Jonathan Riddell,  do projecto  Kubuntu,   referiu que o Mir/XMir não será (ainda) integrado na sua distribuição  ;  Relativamente ao projecto Ubuntu, a informação é que o Ubuntu 13.10 Saucy Salamander virá com o MIR. Tal como anunciado  o Ubuntu 13.10 Saucy Salamander virá com o MIR, um novo servidor gráfico, desenvolvido pela Canonical, desenhado para ser rápido, eficiente e transversal a várias versões do Ubuntu (ex. Ubuntu para smartphones/ tablets, desktops, TV, etc). O Mir será o  substituto do X-Window e X.org  e oferecerá uma nova experiência aos utilizadores (de referir que a não adopção do  Wayland   – projecto idêntico desenvolvido por um grupo de programadores da Redhat, se deveu a incompatibilidades com os objectivos traçados pela Canonical). Como objectivo traçado, a equipa de desenvolvimento pretende que o MIR seja totalmente compatível e estável com o
Enviar um comentário
Ler mais

Download Windows 7,8,10

Download Windows 7,8,10 num unico ISO - mega
Enviar um comentário
Ler mais