18 jun. 2014

Vulnerabilidad en Gmail dejó expuestas las direcciones de correo durante años

El investigador de seguridad Oren Hafif reveló que había descubierto una vulnerabilidad en Gmail que durante años podía haber dejado expuestos todos los nombres de las direcciones de correo electrónico de todos los usuarios, haciéndolas susceptibles a phishing, spam y a intentos de acceso no autorizados.

La metodología usada por Hafif explotaba la opción que permite que los usuarios puedan autorizar que otras terceras partes accedan a sus cuentas, y sólo tenía que modificar una URL que se genera cuando un usuario no autorizado intenta ganar la entrada a una cuenta utilizando la función de delegación.

Al cambiar un carácter en la URL, Hafif descubrió que la página mostraba una dirección de correo electrónico diferente, junto con el mensaje de "decline". Luego, automatizando el proceso con DirBuster, fue capaz de obtener casi 40.000 direcciones de correo electrónico en sólo dos horas.

"Yo podría haber hecho ésto potencialmente sin fin", dice Hafif. "Tengo todas las razones para creer que podría haber sido extraídas todas las direcciones de Gmail".

Hafif reveló la vulnerabilidad de Gmail de forma privada, y el fallo ya se ha mitigado antes de esta revelación pública. Gmail dice que en ningún momento hubo riesgo de exposición de las contraseñas pero sin embargo, la extracción de direcciones de correo electrónico con el método de Hafif podría haber sido un negocio redondo para spammers y estafadores.

Hafif publicó el video para demostrar la técnica utilizada.

Fuente: HackPlayers

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!