Falha de segurança envia SPAM para e-mails do Gmail

Falha pode ter revelado endereço de todos que usam o serviço, pessoas e empresas, potencializando o recebimento de SPAM e abrindo caminho para a ação de cibercriminosos.

Uma enorme falha de segurança pode ter exposto milhares de e-mails do Gmail. A descoberta foi revelada por um especialista em segurança digital, o israelense Oren Hafif, através de seu blog. A empresa garantiu que falha foi corrigida e pagou uma recompensa de US$ 500.

De acordo com o israelense, a falha não teria permitido o acesso fácil ao conteúdo ou às senhas das contas de e-mail. No entanto, o bug poderia ter deixado os usuários vulneráveis a spams, ataques de adivinhação de senha ou phishing. Um porta-voz do Google se recusou a comentar o assunto. Já Hafif admitiu que não tem ideia se a falha foi usada alguma vez.

Ainda de acordo com o especialista, que trabalha em Tel-Aviv em uma empresa de segurança, a falha poderia expor tanto endereços de usuários que utilizam o serviço quanto o e-mail de empresas que usam o Gmail, inclusive o próprio Google.

“Eu tenho todos os motivos para acreditar que cada endereço do Gmail pode ter sido extraído”, afirmou.

Oren Hafif disse ainda que, a princípio, o Google se recusou a fazer o pagamento através do programa de gratificações da empresa, mas acabou cedendo.

O israelense explicou que a falha estava em um recurso de compartilhamento que permite a um usuário delegar o acesso a sua conta do Gmail. Ao ajustar o endereço, Hafif descobriu que era possível descobrir de forma randômica o endereço de outros usuários do serviço.

Ele contou que utilizou um token para forçar o URL do Gmail e conseguir extrair os e-mails. Ao automatizar as buscas, utilizando um software chamado DirBuster, ele disse que foi capaz de coletar 37 mil endereços do Gmail em cerca de duas horas.