50 CONDIVISIONI
Opinioni

Gmail, un pericoloso bug ha reso vulnerabili tutti gli indirizzi email del servizio di Google

Sfruttando una vulnerabilità presente in una delle funzionalità di Gmail, hacker e malintenzionati avrebbero potuto avere accesso al database completo di tutti gli indirizzi email registrati sulla piattaforma del colosso di Mountain View.
A cura di Dario Caliendo
50 CONDIVISIONI
Immagine

Fino a qualche giorno fa, potenzialmente qualsiasi utente avrebbe potuto avere accesso ad una lista contenente tutti gli indirizzi Gmail al mondo. Tutto quello necessario, secondo quanto racconta un esperto di sicurezza, era effettuare la modifica di una serie di caratteri nell'indirizzo di un sito web e tanta pazienza.

Oren Hafif, questo il nome dell'esperto, ha raccontato a Wired.com di aver aiutato Google a correggere un bug che avrebbe permesso ad hacker e malintenzionati si estrarre milioni di indirizzi Gmail in pochissime settimane:  si tratta di una vulnerabilità importante che, nonostante non abbia reso accessibile le password degli account, sarebbe stata utilizzata per generare email di spam, phishing e attacchi particolari per rubare le chiavi di accesso degli utenti.

L'exploit era possibile grazie a una funzionalità poco conosciuta della piattaforma di Big G, con la quale un determinato utente può delegarne un altro per accedere al proprio account. Lo scorso novembre Hafif ha scoperto la possibilità di modificare l'url della pagina che appare nella barra degli indirizzi nel caso in cui un utente provi ad accedere a un account sfruttando questa funzionalità: grazie a DirBuster, un software dedicato, sarebbe riuscito a collezionare 37.000 indirizzi Gmail in meno di due ore.

"Sarei potuto andare avanti praticamente all'infinito" – spiega Hafif – "Ho tutte le ragioni per credere che qualsiasi indirizzo Gmail possa essere stato una potenziale vittima di questo trucchetto".

"Dopo la mia segnalazione Google ha impiegato un mese per rendersi conto del bug", continua, raccontando che l'azienda inizialmente si è addirittura rifiutata di pagare la somma stabilita dal suo "Bug bounty program", per poi premiarlo con 500 dollari, una cifra irrilevante rispetto alle decine di migliaia di dollari che ha fatto risparmiare a Google scovando la vulnerabilità.

50 CONDIVISIONI
autopromo immagine
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni
api url views