Os serviços que assentam na Internet estão sujeitos a problemas e a tentativas de exploração de falhas e fragilidades. Vários são os casos conhecidos, alguns com um impacto maior ou menor, mas sempre com problemas para os utilizadores.
A mais recente falha do Gmail que foi conhecida permitia que qualquer um, mal intencionado, pudesse exportar do serviço todos os emails que existem no serviço de email da Google.
A falha do Gmail foi descoberta por um investigador Israelita, Oren Hafif, que mostrou que de uma forma muito simples é possível obter acesso a uma lista de endereços de email do serviço da Google.
A forma encontrada para obter esta lista é através de uma funcionalidade que existe no Gmail e que permite que seja feita a delegação de contas de email a outros utilizadores do serviço, garantindo o acesso sem a troca de qualquer password.
Como a aceitação dessa delegação de conta é feita com recurso a um link do Gmail com um token finito e bem padronizado, foi possível a este investigador gerá-los para que depois, fosse brindado com uma mensagem de erro, onde estava exposto o email de outra conta.
Este mecanismo, quando tornado num processo automatizado, permitiu que Oren Hafif recolhesse mais de 37 mil endereços de email do Gmail, em apenas 2 horas.
A forma simples e não autenticada como este processo decorre pode ter sido aproveitada por qualquer utilizador mal intencionado para recolher endereços de email para depois serem usado para envio de spam, esquemas de phishing ou simplesmente para tentativas de acesso com ataques de dicionário.
Oren Hafif reportou o problema à Google, que de imediato resolveu o problema, mas ficou a dúvida sobre o tempo que esta falha esteve disponível e até se foi aproveitada por alguém.
A Google tem sistemas que previnem a utilização repetida de tentativas de acesso, mas como o recursos a VPN’s ou a redes como o Tor, estes podem ser facilmente contornados.
O vídeo apresentado acima mostra a forma simples como Oren Hafif conseguiu explorar esta vulnerabilidade do Gmail e assim obter os endereços de email.
Segundo disse, poderia ter estado durante bastante tempo a executar este processo e assim obter a lista completa dos endereços de email do Gmail.
Este problema não se limitava aos utilizadores do serviço geral da Google, podendo também ser usado para obter os endereços dos utilizadores do serviço de email empresarial da Google.
Apesar de ter acesso a estes dados, nunca foi possível obter qualquer outra informação sobre os utilizadores e muito menos dados como passwords ou tokens de acesso.