Falha pode ter revelado endereço de todos que usam o serviço, pessoas e empresas, potencializando o recebimento de SPAM e abrindo caminho para a ação de cibercriminosos.
Uma enorme falha de segurança pode ter exposto milhares de e-mails do Gmail. A descoberta foi revelada por um especialista em segurança digital, o israelense Oren Hafif, através de seu blog. A empresa garantiu que falha foi corrigida e pagou uma recompensa de US$ 500.
De acordo com o israelense, a falha não teria permitido o acesso fácil ao conteúdo ou às senhas das contas de e-mail. No entanto, o bug poderia ter deixado os usuários vulneráveis a spams, ataques de adivinhação de senha ou phishing. Um porta-voz do Google se recusou a comentar o assunto. Já Hafif admitiu que não tem ideia se a falha foi usada alguma vez.
Ainda de acordo com o especialista, que trabalha em Tel-Aviv em uma empresa de segurança, a falha poderia expor tanto endereços de usuários que utilizam o serviço quanto o e-mail de empresas que usam o Gmail, inclusive o próprio Google.
“Eu tenho todos os motivos para acreditar que cada endereço do Gmail pode ter sido extraído”, afirmou.
Oren Hafif disse ainda que, a princípio, o Google se recusou a fazer o pagamento através do programa de gratificações da empresa, mas acabou cedendo.
O israelense explicou que a falha estava em um recurso de compartilhamento que permite a um usuário delegar o acesso a sua conta do Gmail. Ao ajustar o endereço, Hafif descobriu que era possível descobrir de forma randômica o endereço de outros usuários do serviço.
Ele contou que utilizou um token para forçar o URL do Gmail e conseguir extrair os e-mails. Ao automatizar as buscas, utilizando um software chamado DirBuster, ele disse que foi capaz de coletar 37 mil endereços do Gmail em cerca de duas horas.
"Golpe do @", o novo golpe descoberto com o dfndr security já tem mais de…
Empresa foi convidada a colaborar na construção do relatório “O impacto e futuro da Inteligência…
Conheça o novo golpe que se aproveita do maior evento esportivo do mundo
Modalidade de phishing se tornou a campeã de detecções em 2022, acumulando mais de 5…
Golpe do Auxílio, criminosos estão utilizando indevidamente o nome do programa e prometem transferência em…
Presente nas principais redes sociais, perfis do ‘Robô do PIX’ induzem pessoas a acessarem links…