Бесплатно Экспресс-аудит сайта:

17.06.2014

Google заплатила за обнаружение опасной бреши в Gmail только $500

На прошлой неделе Google исправила уязвимость, эксплуатация которой позволяла авторам спам-рассылок узнать адреса всех пользователей почтового сервиса Gmail. Согласно данным SecurityAffairs, в руки кибермошенников могли попасть данные порядка полмиллиарда людей.

Брешь, просуществовавшую в Gmail несколько лет, обнаружил ИБ-эксперт из Trustwave Орен Хафиф (Oren Hafif). При этом за обнаружение столь опасной бреши специалисту выплатили вознаграждение всего лишь в $500. Для того чтобы исправить уязвимость, Google потратила около месяца.

Как следует из сообщении в блоге специалиста, информация об уязвимости была опубликована только после того, как поисковый гигант выпустил исправление. По словам Хафифа, в Google не знали о наличии бреши. Существует вероятность того, что злоумышленники могли эксплуатировать уязвимость также для реализации фишинговых кампаний и восстановления паролей к чужим учетным записям.

Брешь существовала из-за возможности предоставления другим пользователям доступа к учетной записи. В частности, речь идет о модификации URL-запроса к сервису Gmail. Так, используя простое приложение, киберпреступник мог автоматически перебирать служебные символы в URL-запросе к чужой учетной записи. Это, в итоге, позволяло узнать полный адрес пользователя.

Написав собственное приложение, Хафиф узнал адреса 37 тысяч учеток всего за 2 часа перебора символов в запросе.

Отметим, что изначально Google не собиралась выплачивать вознаграждение за обнаружение уязвимости. Кроме того, сумма в $500 является весьма небольшой, учитывая размеры вознаграждений, выплачиваемых согласно корпоративной политике Google.