17.06.2014 | Google заплатила за обнаружение опасной бреши в Gmail только $500 |
На прошлой неделе Google исправила уязвимость, эксплуатация которой позволяла авторам спам-рассылок узнать адреса всех пользователей почтового сервиса Gmail. Согласно данным SecurityAffairs, в руки кибермошенников могли попасть данные порядка полмиллиарда людей. Брешь, просуществовавшую в Gmail несколько лет, обнаружил ИБ-эксперт из Trustwave Орен Хафиф (Oren Hafif). При этом за обнаружение столь опасной бреши специалисту выплатили вознаграждение всего лишь в $500. Для того чтобы исправить уязвимость, Google потратила около месяца. Как следует из сообщении в блоге специалиста, информация об уязвимости была опубликована только после того, как поисковый гигант выпустил исправление. По словам Хафифа, в Google не знали о наличии бреши. Существует вероятность того, что злоумышленники могли эксплуатировать уязвимость также для реализации фишинговых кампаний и восстановления паролей к чужим учетным записям. Брешь существовала из-за возможности предоставления другим пользователям доступа к учетной записи. В частности, речь идет о модификации URL-запроса к сервису Gmail. Так, используя простое приложение, киберпреступник мог автоматически перебирать служебные символы в URL-запросе к чужой учетной записи. Это, в итоге, позволяло узнать полный адрес пользователя. Написав собственное приложение, Хафиф узнал адреса 37 тысяч учеток всего за 2 часа перебора символов в запросе. Отметим, что изначально Google не собиралась выплачивать вознаграждение за обнаружение уязвимости. Кроме того, сумма в $500 является весьма небольшой, учитывая размеры вознаграждений, выплачиваемых согласно корпоративной политике Google. |
Проверить безопасность сайта