Gmail umožňoval hromadný datamining adres uživatelů

ITbiz.cz, 13. červen 2014 12:06 3 komentářů
Rubriky: Security, Internet

Díky neopravené bezpečnostní chybě umožňovala webmailová služba Gmail od Google hromadně dolovat emailové adresy uživatelů. Tvrdí to alespoň bezpečnostní expert Oren Hafif, který chybu odhalil.

Chyba, která se nalézala ve funkcionalitě pro delegování přístupu k účtu dalším uživatelům, umožňovala získat přístup k adresám v okamžiku, kdy se zobrazila stránka po kliknutí na URL pro odmítnutí nabídky na tento druh přístupu.

Daná stránka má za běžných okolností informovat o e-mailové adrese účtu, přes který bylo odmítnuto přistoupit a služba původně adresu generovala z tokenu, který se nachází v URL. To ale vedlo k tomu, že po změně tohoto tokenu na jakákoli jiný stejného formátu Gmail prozrazoval další adresy. Vedle uživatelských adres Gmailu se takto zobrazovaly také firemní adresy a kontakty, které využívají službu Google Apps pod vlastní doménou.

Hafif tvrdí, že takto služba prozrazovala adresy prakticky všech uživatelů GMailu a dalších služeb Google (sám Google toto nepotvrdil, je zde tedy teoretická možnost, že se jednalo pouze o specifickou podmnožinu adres). Hafif sám demonstrativně z jedné IP za dvě hodiny vydoloval asi bez 37 tisíc adres. Google chybu již stačil opravit.


Komentáře

rootless rooter #1
rootless rooter 13. červen 2014 14:51

jj,a po oznameni chyby mu zaplatili celych 500$ :]]]

peter #2
peter 15. červen 2014 11:40

Podľa všeobecných podmienok sa nejedná o chybu ale je to vlastnosť. Google odstránil iba možnosť získať spomínané dáta zdarma. Čítal vôbec niekto tie všeobecné podmienky?

Jura #3
Jura 16. červen 2014 14:24

Dobrý postřeh.

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

50 let Intelu

ČTK , 16. červenec 2018 09:06

Intel nejprve produkoval paměti typu RAM, ale na počátku sedmdesátých let se firma rozhodla rozšířit...

Více 0 komentářů

USA zrušily zákaz dodávek amerického zboží čínské ZTE

ČTK , 14. červenec 2018 08:00

Firma již v rámci urovnání sporu s americkou vládou souhlasila, že zaplatí pokutu miliardy dolarů....

Více 0 komentářů

Trh PC ve 2. čtvrtletí rostl, tvrdí Gartner i IDC

ČTK , 13. červenec 2018 16:35

Růst odbytu táhla zejména poptávka firemního segmentu podpořená operačním systémem Windows 10....

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Polovina kryptoměnových firem zanikne během čtyř měsíců od ICO

ČTK , 13. červenec 2018 10:09

Nejlepší strategií je prý mince v primární nabídce koupit a hned první den obchodů na otevřeném trhu...

Více 0 komentářů

Americká vláda se odvolává proti fúzi AT&T a Time Warner

ČTK , 13. červenec 2018 10:07

Ministerstvo se odvolalo proti červnovému rozhodnutí soudu, který spojení posvětil přes dřívější nám...

Více 0 komentářů

Německý soud: Rodiče mají mít přístup k facebooku mrtvé dcery

ČTK , 13. červenec 2018 09:00

Facebook nechtěl obsah účtu dívky otevřít, protože i její přátelé údajně spoléhali na to, že jejich ...

Více 1 komentářů

Broadcom koupí za 18,9 miliard dolarů CA Technologies

ČTK , 12. červenec 2018 13:01

Akvizice jsou důležité pro expanzi Broadcomu. Výběr firmy CA je však pro analytiky překvapením....

Více 0 komentářů