Pesquisador explora vulnerabilidade e obtém milhares de endereços do Gmail

Por Redação | 11 de Junho de 2014 às 17h34

Listar todos os endereços úteis existentes no Gmail é uma tarefa muito árdua, porém não impossível. Oren Hafif, pesquisador da área de segurança digital, encontrou uma falha no e-mail do Google que podia ser usada para extrair as milhares de contas do serviço.

Segundo informações veiculadas pelo Wired, Hafif disse que a falha existia já há muito anos e, apesar de não expor senhas ou conteúdo dos e-mails, podia ser utilizada para enviar spam, phishing e ações maliciosas semelhantes.

O pesquisador encontrou o núcleo da falha numa vulnerabilidade do recurso de compartilhamento de contas. Em novembro do ano passado, Hafif descobriu que poderia explorar a URL alterada de uma conta que teve seu compartilhamento recusado por um usuário.

Com a alteração, ele recebeu uma mensagem dizendo que ela havia sido recusada por um endereço diferente, um registro útil de um usuário ativo. Usando um software chamado DirBuster, ele conseguiu automatizar esse processo e coletou 37 mil endereços do Gmail em apenas duas horas.

O Google chegou a bloquear os bots, robôs digitais, de Hafif. No entanto, bastou ele alterar parte da URL para continuar recebendo milhares de endereços de e-mails. Como o Google não exigia autenticação para exibir a página vulnerável, quaisquer softwares que garantam anonimato podiam coletar essas informações tranquilamente, sem serem notados.

Hafif só revelou a falha em seu blog nesta terça-feira (10), e disse que não há como saber há quanto tempo essa vulnerabilidade pode ser explorada. Há indícios de que ela esteja ali há vários anos.

De acordo com o pesquisador, demorou mais de um mês até que o Google consertasse o problema. Inicialmente, a companhia, que tem um programa de incentivo financeiro para quem descobrir vulnerabilidades em suas plataformas, negou-se a pagar alguma recompensa para Hafif. Contudo, mudou de ideia posteriormente, e aceitou doar a bagatela de US$ 500 – pouco, se comparado ao prejuízo que tal falha poderia causar.

Ele ainda disse que ficou um pouco desapontado pelo valor tão baixo recebido por uma falha tão séria. "Imagine quanto dinheiro um spammer ou um país (China) toparia pagar por uma lista com todas as contas do Gmail?", questionou, em seu blog.

Perguntado se alguém já poderia ter tido acesso a essa lista completa, Hafif foi econômico nas palavras: "Nunca saberemos". Caso fosse melhor utilizada por um hacker, essa vulnerabilidade, acredita o pesquisador, poderia até mesmo revelar contas de outros serviços do Google.

Um representante do Google confirmou o episódio e que pagou Hafif pela falha, mas negou-se a comentar algo mais além disso. Confira no vídeo abaixo como ele explorou a vulnerabilidade:

Fonte: http://www.wired.com/2014/06/gmail-bug-could-have-exposed-every-users-address/

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.