Gmail umožňoval hromadný datamining adres uživatelů

ITbiz.cz, 13. červen 2014 12:06 3 komentářů
Rubriky: Security, Internet

Díky neopravené bezpečnostní chybě umožňovala webmailová služba Gmail od Google hromadně dolovat emailové adresy uživatelů. Tvrdí to alespoň bezpečnostní expert Oren Hafif, který chybu odhalil.

Chyba, která se nalézala ve funkcionalitě pro delegování přístupu k účtu dalším uživatelům, umožňovala získat přístup k adresám v okamžiku, kdy se zobrazila stránka po kliknutí na URL pro odmítnutí nabídky na tento druh přístupu.

Daná stránka má za běžných okolností informovat o e-mailové adrese účtu, přes který bylo odmítnuto přistoupit a služba původně adresu generovala z tokenu, který se nachází v URL. To ale vedlo k tomu, že po změně tohoto tokenu na jakákoli jiný stejného formátu Gmail prozrazoval další adresy. Vedle uživatelských adres Gmailu se takto zobrazovaly také firemní adresy a kontakty, které využívají službu Google Apps pod vlastní doménou.

Hafif tvrdí, že takto služba prozrazovala adresy prakticky všech uživatelů GMailu a dalších služeb Google (sám Google toto nepotvrdil, je zde tedy teoretická možnost, že se jednalo pouze o specifickou podmnožinu adres). Hafif sám demonstrativně z jedné IP za dvě hodiny vydoloval asi bez 37 tisíc adres. Google chybu již stačil opravit.


Komentáře

rootless rooter #1
rootless rooter 13. červen 2014 14:51

jj,a po oznameni chyby mu zaplatili celych 500$ :]]]

peter #2
peter 15. červen 2014 11:40

Podľa všeobecných podmienok sa nejedná o chybu ale je to vlastnosť. Google odstránil iba možnosť získať spomínané dáta zdarma. Čítal vôbec niekto tie všeobecné podmienky?

Jura #3
Jura 16. červen 2014 14:24

Dobrý postřeh.

RSS 

Komentujeme

Jak probíhá adopce cloudu

Pavel Houser , 16. únor 2018 09:45
Pavel Houser

Cloud už neznamená jen SaaS, jenže… K dispozici je řada analýz i prognóz, které dokládají, jak se po...

Více








RSS 

Zprávičky

E-shopy likvidují už i kamenné obchody s obuví

ČTK , 19. únor 2018 13:13

Problémy mají i řetězce. Lidé si on-line objednávají šest párů bot, jedny si nechají a ostatní pošlo...

Více 1 komentářů

O2 navrhne valné hromadě výplatu akcionářům 21 Kč na akcii

ČTK , 19. únor 2018 08:00

Celkově by firma vyplatila na dividendách 5,274 miliardy Kč, tedy 98 % loňského čistého zisku....

Více 0 komentářů

Piezoelektrický jev u jednotlivých molekul umožní nanogenerátory elektrické energie

Pavel Houser , 18. únor 2018 08:00

Piezoelektrický jev odpovídá za vznik elektrického napětí v závislosti na vnějším mechanickém namáhá...

Více 0 komentářů

Starší zprávičky

Také USA obvinily Rusko, že má na svědomí velký loňský kyberútok

ČTK , 17. únor 2018 08:00

Po Británii i Spojené státy obvinily ruskou vládu, že stojí za vlnou kybernetických útoků, která lon...

Více 2 komentářů

Lékařům nebudou letos hrozit pokuty za předpis papírového receptu

ČTK , 16. únor 2018 10:00

"Chceme mít rok na odladění systému a jeho vylepšení," řekl ministr zdravotnictví Adam Vojtěch....

Více 0 komentářů

Jourová: Facebook a Twitter musejí v ochraně spotřebitelů přidat

ČTK , 16. únor 2018 09:00

Nedostatky prý neodstranil zejména Twitter, naopak změny Google+ se zdají být v souladu s unijními p...

Více 0 komentářů

Senátoři se postavili proti nadměrným sankcím kvůli GDPR

ČTK , 16. únor 2018 08:00

Pokuty musí být vždy přiměřené s tím, že dolní sazba pokuty přitom zcela jistě bude nulová," uvedl m...

Více 0 komentářů