La metodología usada por Hafif explotaba la opción que permite que los usuarios puedan autorizar que otras terceras partes accedan a sus cuentas, y sólo tenía que modificar una URL que se genera cuando un usuario no autorizado intenta ganar la entrada a una cuenta utilizando la función de delegación.
Al cambiar un carácter en la URL, Hafif descubrió que la página mostraba una dirección de correo electrónico diferente, junto con el mensaje de "decline". Luego, automatizando el proceso con DirBuster, fue capaz de obtener casi 40.000 direcciones de correo electrónico en sólo dos horas.
"Yo podría haber hecho ésto potencialmente sin fin", dice Hafif. "Tengo todas las razones para creer que podría haber sido extraídas todas las direcciones de Gmail".
Hafif reveló la vulnerabilidad de Gmail de forma privada, y el fallo ya se ha mitigado antes de esta revelación pública. Gmail dice que en ningún momento hubo riesgo de exposición de las contraseñas pero sin embargo, la extracción de direcciones de correo electrónico con el método de Hafif podría haber sido un negocio redondo para spammers y estafadores.
Hafif publicó el video para demostrar la técnica utilizada.
Fuente: HackPlayers
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!