Gmail umožňoval hromadný datamining adres uživatelů

ITbiz.cz, 13. červen 2014 12:06 3 komentářů
Rubriky: Security, Internet

Díky neopravené bezpečnostní chybě umožňovala webmailová služba Gmail od Google hromadně dolovat emailové adresy uživatelů. Tvrdí to alespoň bezpečnostní expert Oren Hafif, který chybu odhalil.

Chyba, která se nalézala ve funkcionalitě pro delegování přístupu k účtu dalším uživatelům, umožňovala získat přístup k adresám v okamžiku, kdy se zobrazila stránka po kliknutí na URL pro odmítnutí nabídky na tento druh přístupu.

Daná stránka má za běžných okolností informovat o e-mailové adrese účtu, přes který bylo odmítnuto přistoupit a služba původně adresu generovala z tokenu, který se nachází v URL. To ale vedlo k tomu, že po změně tohoto tokenu na jakákoli jiný stejného formátu Gmail prozrazoval další adresy. Vedle uživatelských adres Gmailu se takto zobrazovaly také firemní adresy a kontakty, které využívají službu Google Apps pod vlastní doménou.

Hafif tvrdí, že takto služba prozrazovala adresy prakticky všech uživatelů GMailu a dalších služeb Google (sám Google toto nepotvrdil, je zde tedy teoretická možnost, že se jednalo pouze o specifickou podmnožinu adres). Hafif sám demonstrativně z jedné IP za dvě hodiny vydoloval asi bez 37 tisíc adres. Google chybu již stačil opravit.


Komentáře

rootless rooter #1
rootless rooter 13. červen 2014 14:51

jj,a po oznameni chyby mu zaplatili celych 500$ :]]]

peter #2
peter 15. červen 2014 11:40

Podľa všeobecných podmienok sa nejedná o chybu ale je to vlastnosť. Google odstránil iba možnosť získať spomínané dáta zdarma. Čítal vôbec niekto tie všeobecné podmienky?

Jura #3
Jura 16. červen 2014 14:24

Dobrý postřeh.

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

22. 02. IT mezi paragrafy
20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
RSS 

Zprávičky

Blokování nelegálního hazardu na internetu není protiústavní

Pavel Houser , 22. únor 2017 13:22

Plénum Ústavního soudu zamítlo návrh skupiny 21 senátorů Senátu Parlamentu České republiky na zruš...

Více 0 komentářů

Amazon otevře v Polsku své páté logistické centrum

ČTK , 22. únor 2017 13:03

Česká pobočka firmy uvedla, že letos nabere v Dobrovízi u Prahy a ve své pražské kanceláři 1000 stál...

Více 0 komentářů

SpaceX a Boeing se možná zpozdí s dopravou lidí na ISS

ČTK , 22. únor 2017 09:30

Společnosti SpaceX a Boeing se možná zpozdí s nasazením svých lodí pro dopravu posádek na Mezinárodn...

Více 0 komentářů

Starší zprávičky

Verizon koupí aktivity Yahoo za sníženou cenu 4,48 miliardy USD

ČTK , 21. únor 2017 16:05

Americký telekomunikační operátor Verizon Communications se dohodl na nových podmínkách převzetí zák...

Více 0 komentářů

Jen desetina SMB firem těží z digitální transformace

ITBiz.cz , 21. únor 2017 09:00

Studie IDC a SAP ukázala, že čtyři z pěti SMB firem vidí v digitální transformaci značné výhody včet...

Více 0 komentářů

Trump si nechal registrovat tisíce internetových domén

ČTK , 21. únor 2017 08:30

Málokterá veřejná osoba je tak aktivní ve skupování internetových domén jako americký prezident Dona...

Více 4 komentářů

Mall Group ovládla internetový obchod s elektrem CZC.cz

ČTK , 20. únor 2017 16:39

Skupina Mall Group se stala jediným vlastníkem e-shopu CZC.cz. Od zakladatele obchodu Josefa Matějky...

Více 2 komentářů

AbcPráce