El investigador de seguridad Oren Hafif reveló que había descubierto una vulnerabilidad en Gmail que durante años podía haber dejado expuestos todos los nombres de las direcciones de correo electrónico de todos los usuarios, haciéndolas susceptibles a phishing, spam y a intentos de acceso no autorizados.
La metodología usada por Hafif explotaba la opción que permite que los usuarios puedan autorizar que otras terceras partes accedan a sus cuentas, y sólo tenía que modificar una URL que se genera cuando un usuario no autorizado intenta ganar la entrada a una cuenta utilizando la función de delegación.
Al cambiar un carácter en la URL, Hafif descubrió que la página mostraba una dirección de correo electrónico diferente, junto con el mensaje de "decline". Luego, automatizando el proceso con DirBuster, fue capaz de obtener casi 40.000 direcciones de correo electrónico en sólo dos horas.
"Yo podría haber hecho ésto potencialmente sin fin", dice Hafif. "Tengo todas las razones para creer que podría haber sido extraídas todas las direcciones de Gmail."
Hafif reveló la vulnerabilidad de Gmail de forma privada, y el fallo ya se ha mitigado antes de esta revelación pública. Gmail dice que en ningún momento hubo riesgo de exposición de las contraseñas pero sin embargo, la extracción de direcciones de correo electrónico con el método de Hafif podría haber sido un negocio redondo para spammers y estafadores.
Hafif publicó también el siguiente video para demostrar la técnica:
Fuente: Gmail Vulnerability Could Have Exposed Every Email Address
La metodología usada por Hafif explotaba la opción que permite que los usuarios puedan autorizar que otras terceras partes accedan a sus cuentas, y sólo tenía que modificar una URL que se genera cuando un usuario no autorizado intenta ganar la entrada a una cuenta utilizando la función de delegación.
Al cambiar un carácter en la URL, Hafif descubrió que la página mostraba una dirección de correo electrónico diferente, junto con el mensaje de "decline". Luego, automatizando el proceso con DirBuster, fue capaz de obtener casi 40.000 direcciones de correo electrónico en sólo dos horas.
"Yo podría haber hecho ésto potencialmente sin fin", dice Hafif. "Tengo todas las razones para creer que podría haber sido extraídas todas las direcciones de Gmail."
Hafif reveló la vulnerabilidad de Gmail de forma privada, y el fallo ya se ha mitigado antes de esta revelación pública. Gmail dice que en ningún momento hubo riesgo de exposición de las contraseñas pero sin embargo, la extracción de direcciones de correo electrónico con el método de Hafif podría haber sido un negocio redondo para spammers y estafadores.
Hafif publicó también el siguiente video para demostrar la técnica:
Url del vídeo: http://www.youtube.com/bMmp-mx_03Q
Fuente: Gmail Vulnerability Could Have Exposed Every Email Address
¡Buenas Vicente! ¿Este char daría para un artículo? WTF!? xD
ResponderEliminarhttps://www.google.es/search?q=ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้
Jejej ya he rejugueteao con estos caracteres "especiales" sobretodo en Twitter.. Había una cuenta que solo retuiteaba mensajes así.. Si encuentro el nombre te la paso. Saludos!
Eliminarhttps://twitter.com/glitchr_
ResponderEliminarWow! ¡Gracias! *_*
Eliminar