Proponha uma correção, faça uma sugestão
Falha de segurança do Gmail permitiu obter endereços de email
Os serviços que assentam na Internet estão sujeitos a problemas e a tentativas de exploração de falhas e fragilidades. Vários são os casos conhecidos, alguns com um impacto maior ou menor, mas sempre com problemas para os utilizadores.
A mais recente falha do Gmail que foi conhecida permitia que qualquer um, mal intencionado, pudesse exportar do serviço todos os emails que existem no serviço de email da Google.
A falha do Gmail foi descoberta por um investigador Israelita, Oren Hafif, que mostrou que de uma forma muito simples é possível obter acesso a uma lista de endereços de email do serviço da Google.
A forma encontrada para obter esta lista é através de uma funcionalidade que existe no Gmail e que permite que seja feita a delegação de contas de email a outros utilizadores do serviço, garantindo o acesso sem a troca de qualquer password.
Como a aceitação dessa delegação de conta é feita com recurso a um link do Gmail com um token finito e bem padronizado, foi possível a este investigador gerá-los para que depois, fosse brindado com uma mensagem de erro, onde estava exposto o email de outra conta.
Este mecanismo, quando tornado num processo automatizado, permitiu que Oren Hafif recolhesse mais de 37 mil endereços de email do Gmail, em apenas 2 horas.
A forma simples e não autenticada como este processo decorre pode ter sido aproveitada por qualquer utilizador mal intencionado para recolher endereços de email para depois serem usado para envio de spam, esquemas de phishing ou simplesmente para tentativas de acesso com ataques de dicionário.
Oren Hafif reportou o problema à Google, que de imediato resolveu o problema, mas ficou a dúvida sobre o tempo que esta falha esteve disponível e até se foi aproveitada por alguém.
A Google tem sistemas que previnem a utilização repetida de tentativas de acesso, mas como o recursos a VPN's ou a redes como o Tor, estes podem ser facilmente contornados.
O vídeo apresentado acima mostra a forma simples como Oren Hafif conseguiu explorar esta vulnerabilidade do Gmail e assim obter os endereços de email.
Segundo disse, poderia ter estado durante bastante tempo a executar este processo e assim obter a lista completa dos endereços de email do Gmail.
Este problema não se limitava aos utilizadores do serviço geral da Google, podendo também ser usado para obter os endereços dos utilizadores do serviço de email empresarial da Google.
Apesar de ter acesso a estes dados, nunca foi possível obter qualquer outra informação sobre os utilizadores e muito menos dados como passwords ou tokens de acesso.
Este artigo tem mais de um ano
Loading ...
You know nothing, Jon Snow.
… e recebeu como recompensa 370 euros 🙂
(500 DÓLAR DOS ESTADOS UNIDOS(USD) = +/- 369,604 EURO (EUR))
Yup, por acaso já tinha visto, mas pior do que isso, é a indiferença inicial da equipa de segurança da Google.
Depois lá deram o braço a torcer e deram-lhe esses troquitos.
Com o projeto anti-spam P2T que tenho em desenvolvimento, esse seria o menor dos meus problemas.
Qualquer utilizador associado a um servidor P2T pode sem qualquer margem de duvidas, divulgar o seu endereço de email a todo o mundo e “brincar” mesmo com os spammers para que lhes enviassem o lixo que quisessem 😉
Portanto uma falha destas não teria a mínima importância.
http://www.redin.com.pt/compare-deals/
…
Novo link:
http://p2t.email/redin/compare-deals/
Como Altissimo Magistrado Presidente de uma grande empresa de informatica em Portugal, so tenho a dizer que embora a google tenha alguns bons servicos o android e um virus para colecionar informacoes para a google. Quem se preocupa com privacidade, boa experiencia de utilizacao, ou ate mesmo n ter lag..compra iphone ou windows phones. Android sao uma moda que vai desaparecer dentro de poucos anos. Tenho informacoes suficientes de contactos poderosos que dizem que o ubuntu venha a substituir completamente o android em 2016.
Eu confirmo. Nada será como dantes…
Realmente… és o máximo! 😀
Acreditas mesmo que a apple e a microsoft te dão privacidade? ahahah!
Quem quer privacidade (e claro, nunca a 100%) deixa de usar computador, smartphone, etc… Se necessário um tlm que use um Nokia 5110 😀 e mesmo esse é possível localizar.
Privacidade… constrói uma cabana no topo dos alpes e muda-te para lá! E mesmo assim… cuidado com a NSA. 😀
A sério?! confiar em closed-source?! isso e acreditar no Pai Natal.
Vou assumir que é um troll e não dar grande importância, mas custava-me deixar de comentar esta pérola.
Porque é que o pessoal das empresas de informática de Sta Maria da Feira têm tanta mania?!
É que já não é o primeiro que conheço assim…
Corrija se estiver errado, LSM ou puro troll ???
Ri-me com este comentário…uma piada melhor que o jogo de Portugal 😛
Como pessoa vulgar, com um curso vulgar e emprego vulgar, acho que ficava bem ao Sr. Altíssimo Magistrado Presidente Fernando Maximo escrever de acordo com o seu supremo cargo: bem.
Cumps.
Quando é que fazem a moderação? Já está tardia a mesma para que possa aparecer online o meu comentário.
Com o projeto anti-spam P2T que tenho em desenvolvimento, esse seria o menor dos meus problemas.
Qualquer utilizador associado a um servidor P2T pode sem qualquer margem de duvidas, divulgar o seu endereço de email a todo o mundo e “brincar” mesmo com os spammers para que lhes enviassem o lixo que quisessem 😉
Portanto uma falha destas não teria a mínima importância.
http://www.redin.com.pt/compare-deals/
Yay it’s using ruby :3
Muito bom, eu ia mesmo perguntar qual a linguagem de script que ele estava a usar 😀
pythonist for life 😉
python e ruby são muito parecidos, mas prefiro ruby, não te obriga a fazer identações para correr :v