Google заплатила за обнаружение опасной бреши в Gmail только $500

image

Теги: уязвимость, Google, исправление, адрес электронной почты

В руки кибермошенников могли попасть адреса всех пользователей почтового сервиса Gmail.

На прошлой неделе Google исправила уязвимость, эксплуатация которой позволяла авторам спам-рассылок узнать адреса всех пользователей почтового сервиса Gmail. Согласно данным SecurityAffairs, в руки кибермошенников могли попасть данные порядка полмиллиарда людей.

Брешь, просуществовавшую в Gmail несколько лет, обнаружил ИБ-эксперт из Trustwave Орен Хафиф (Oren Hafif). При этом за обнаружение столь опасной бреши специалисту выплатили вознаграждение всего лишь в $500. Для того чтобы исправить уязвимость, Google потратила около месяца.

Как следует из сообщении в блоге специалиста, информация об уязвимости была опубликована только после того, как поисковый гигант выпустил исправление. По словам Хафифа, в Google не знали о наличии бреши. Существует вероятность того, что злоумышленники могли эксплуатировать уязвимость также для реализации фишинговых кампаний и восстановления паролей к чужим учетным записям.

Брешь существовала из-за возможности предоставления другим пользователям доступа к учетной записи. В частности, речь идет о модификации URL-запроса к сервису Gmail. Так, используя простое приложение, киберпреступник мог автоматически перебирать служебные символы в URL-запросе к чужой учетной записи. Это, в итоге, позволяло узнать полный адрес пользователя.

Написав собственное приложение, Хафиф узнал адреса 37 тысяч учеток всего за 2 часа перебора символов в запросе.

Отметим, что изначально Google не собиралась выплачивать вознаграждение за обнаружение уязвимости. Кроме того, сумма в $500 является весьма небольшой, учитывая размеры вознаграждений, выплачиваемых согласно корпоративной политике Google. 


или введите имя

CAPTCHA
ГАГАРИН
16-06-2014 16:14:08
А ВСЕМ ИЗВЕСТНО что ГУГЕЛ самая ЖЛОБСКАЯ КОМПАНИЯ. АГРЕБАЮЩАЯ МИЛЛИАРДЫ ДОЛЛОРЕЙ НА СЛЕЖКИ ЗА ПОЛЬЗОВАТЕЛЯМИ ХРЕНДРОЙДА И ПРОЧЕЙ МУТИ!
0 |
Loki
16-06-2014 18:03:02
Чувствуется глас пользователя айфона ) Все прям так озабочены своей конфиденциальностью, словно все совершают миллиардные сделки на оффшорные счета )
0 |
gremlin
16-06-2014 21:58:53
а зачем кому-то знать номер телефона мей бабули ???
0 |