Avançar para o conteúdo principal

Falha de segurança do Gmail permitiu obter endereços de email

Os serviços que assentam na Internet estão sujeitos a problemas e a tentativas de exploração de falhas e fragilidades. Vários são os casos conhecidos, alguns com um impacto maior ou menor, mas sempre com problemas para os utilizadores.
A mais recente falha do Gmail que foi conhecida permitia que qualquer um, mal intencionado, pudesse exportar do serviço todos os emails que existem no serviço de email da Google.
gmail_1



A falha do Gmail foi descoberta por um investigador Israelita, Oren Hafif, que mostrou que de uma forma muito simples é possível obter acesso a uma lista de endereços de email do serviço da Google.
A forma encontrada para obter esta lista é através de uma funcionalidade que existe no Gmail e que permite que seja feita a delegação de contas de email a outros utilizadores do serviço, garantindo o acesso sem a troca de qualquer password.
Como a aceitação dessa delegação de conta é feita com recurso a um link do Gmail com um token finito e bem padronizado, foi possível a este investigador gerá-los para que depois, fosse brindado com uma mensagem de erro, onde estava exposto o email de outra conta.
Este mecanismo, quando tornado num processo automatizado, permitiu que Oren Hafif recolhesse mais de 37 mil endereços de email do Gmail, em apenas 2 horas.
A forma simples e não autenticada como este processo decorre pode ter sido aproveitada por qualquer utilizador mal intencionado para recolher endereços de email para depois serem usado para envio de spam, esquemas de phishing ou simplesmente para tentativas de acesso com ataques de dicionário.
Oren Hafif reportou o problema à Google, que de imediato resolveu o problema, mas ficou a dúvida sobre o tempo que esta falha esteve disponível e até se foi aproveitada por alguém.
A Google tem sistemas que previnem a utilização repetida de tentativas de acesso, mas como o recursos a VPN’s ou a redes como o Tor, estes podem ser facilmente contornados.
O vídeo apresentado acima mostra a forma simples como Oren Hafif conseguiu explorar esta vulnerabilidade do Gmail e assim obter os endereços de email.Segundo disse, poderia ter estado durante bastante tempo a executar este processo e assim obter a lista completa dos endereços de email do Gmail.
Este problema não se limitava aos utilizadores do serviço geral da Google, podendo também ser usado para obter os endereços dos utilizadores do serviço de email empresarial da Google.
Apesar de ter acesso a estes dados, nunca foi possível obter qualquer outra informação sobre os utilizadores e muito menos dados como passwords ou tokens de acesso.

Comentários

Mensagens populares deste blogue

Ubuntu 13.10 Saucy Salamander virá com o MIR

Durante o dia de hoje, o mundo Linux assistiu ao anuncio de duas informações antagónicas: Por um lado Jonathan Riddell,  do projecto  Kubuntu,   referiu que o Mir/XMir não será (ainda) integrado na sua distribuição  ;  Relativamente ao projecto Ubuntu, a informação é que o Ubuntu 13.10 Saucy Salamander virá com o MIR. Tal como anunciado  o Ubuntu 13.10 Saucy Salamander virá com o MIR, um novo servidor gráfico, desenvolvido pela Canonical, desenhado para ser rápido, eficiente e transversal a várias versões do Ubuntu (ex. Ubuntu para smartphones/ tablets, desktops, TV, etc). O Mir será o  substituto do X-Window e X.org  e oferecerá uma nova experiência aos utilizadores (de referir que a não adopção do  Wayland   – projecto idêntico desenvolvido por um grupo de programadores da Redhat, se deveu a incompatibilidades com os objectivos traçados pela Canonical). Como objectivo traçado, a equipa de desenvolvimento pretende...

Llama Mountain: A board mais pequena do mundo é da Intel

A miniaturização dos componentes que constituem os nossos computadores tem estado a atingir níveis microscópicos. Ao criarem estes componentes passa a ser possível incluí-los em chassis ainda mais pequenos ou permite ganhar espaço para a colocação de outros elementos de maiores dimensões. A Intel apresentou hoje um protótipo, de nome Llama Mountain, que revela uma motherboard completa, mas de dimensões extremamente pequenas. Esta tecnologia vai estar disponível para qualquer OEM criar dispositivos, completos, ainda mais pequenos ou com outras características únicas. O Llama Mountain foi apresentado pela Intel na Computex um tablet único, a correr Windows 8.1 Pro, que é suportado por uma motherboard de dimensões reduzidas e que permite que exista espaço para a colocação de duas baterias. Estas duas baterias, de dimensões generosas, garantem a este tablet de 12.5 polegadas uma autonomia de 32 horas. Também como resultado da utilização desta motherboard, o tablet que fo...

Avira PC Cleaner, do alerta para a segurança

As ferramentas que nos podem ajudar a detectar uma eventual infecção no nosso sistema são sempre uma mais-valia. Mas tornam-se ainda mais úteis quando chegam pela mão das grandes marcas de software com tradição em soluções de segurança, como é o caso da  Avira . Assim, a marca alemã disponibilizou o seu Avira PC Cleaner que pode ser descrito como uma ferramenta individual de pesquisa para vírus que funcional de forma independente, em espécie de «auditor» quer tenhamos ou não outras ferramentas de segurança instaladas. Vamos conhecer? O primeiro programa é bastante leve, rondando pouco mais de 2 MB de download sem necessidade de instalação. Uma vez descarregado basta correr o programa para que, de forma automática ele descarregue via INternet a «segunda parte» dele mesmo. Penso que começamos bem por aqui, pois este procedimento reduz, em certa forma, a possibilidade de eventuais conflitos com outras ferramentas de segurança que possamos ter instaladas. Uma vez d...