Gmail umožňoval hromadný datamining adres uživatelů

ITbiz.cz, 13. červen 2014 12:06 3 komentářů
Rubriky: Security, Internet

Díky neopravené bezpečnostní chybě umožňovala webmailová služba Gmail od Google hromadně dolovat emailové adresy uživatelů. Tvrdí to alespoň bezpečnostní expert Oren Hafif, který chybu odhalil.

Chyba, která se nalézala ve funkcionalitě pro delegování přístupu k účtu dalším uživatelům, umožňovala získat přístup k adresám v okamžiku, kdy se zobrazila stránka po kliknutí na URL pro odmítnutí nabídky na tento druh přístupu.

Daná stránka má za běžných okolností informovat o e-mailové adrese účtu, přes který bylo odmítnuto přistoupit a služba původně adresu generovala z tokenu, který se nachází v URL. To ale vedlo k tomu, že po změně tohoto tokenu na jakákoli jiný stejného formátu Gmail prozrazoval další adresy. Vedle uživatelských adres Gmailu se takto zobrazovaly také firemní adresy a kontakty, které využívají službu Google Apps pod vlastní doménou.

Hafif tvrdí, že takto služba prozrazovala adresy prakticky všech uživatelů GMailu a dalších služeb Google (sám Google toto nepotvrdil, je zde tedy teoretická možnost, že se jednalo pouze o specifickou podmnožinu adres). Hafif sám demonstrativně z jedné IP za dvě hodiny vydoloval asi bez 37 tisíc adres. Google chybu již stačil opravit.


Komentáře

rootless rooter #1
rootless rooter 13. červen 2014 14:51

jj,a po oznameni chyby mu zaplatili celych 500$ :]]]

peter #2
peter 15. červen 2014 11:40

Podľa všeobecných podmienok sa nejedná o chybu ale je to vlastnosť. Google odstránil iba možnosť získať spomínané dáta zdarma. Čítal vôbec niekto tie všeobecné podmienky?

Jura #3
Jura 16. červen 2014 14:24

Dobrý postřeh.

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

Jihokorejští výrobci elektroniky Samsung a LG prudce zvýšili zisk

ITBiz.cz , 28. duben 2017 07:00

Jihokorejští výrobci elektroniky Samsung Electronics a LG Electronics v letošním prvním čtvrtletí vý...

Více 0 komentářů

O digitální transformaci usiluje více než polovina českých podniků

Pavel Houser , 27. duben 2017 18:39

Spojení IoT a AI: Zařízení internetu věcí generují velké objemy dat, které mají bez rychlého zpracov...

Více 0 komentářů

Twitter snížil čtvrtletní ztrátu na 61,6 milionu dolarů

ČTK , 27. duben 2017 15:30

Čtvrtletní ztráta americké internetové společnosti Twitter se meziročně snížila na 61,6 milionu dola...

Více 0 komentářů

Starší zprávičky

Vláda indického Kašmíru zakázala na měsíc sociální sítě

ČTK , 27. duben 2017 13:00

Vláda indického státu Džammú a Kašmír nařídila nejméně na měsíc blokádu sociálních sítí na kašmírské...

Více 0 komentářů

FlashStation pro analýzu velkých objemů dat

Pavel Houser , 27. duben 2017 11:54

Synology představuje zařízení FlashStation FS2017 Podle dodavatele jde o server NAS typu all-flash ...

Více 0 komentářů

Čtvrtletní zisk Samsungu stoupl téměř o polovinu, LG rostla ještě víc

ČTK , 27. duben 2017 10:00

Ve druhém čtvrtletí by měl výsledky dále podpořit nový Galaxy 8....

Více 0 komentářů

Kamery pro systémy SCADA

Pavel Houser , 27. duben 2017 09:00

Axis uvádí na trh kamery chráněné proti výbuchu pro rychlé zvládání nehod a efektivní běh kriticky n...

Více 0 komentářů