多年來廣受用戶歡迎的 Gmail 近來再被揭發有致命性漏洞,此漏洞令任何人、多數為黑客,都可以從 Google 的伺服器上,任意提取任何 Gmail 用戶的電郵地址。
由賬戶分享功能入手
一名「滲透」方面的安全專家 Oren Hafif 在去年已經發現了此漏洞,並證實了可以透過編輯 Gmail 的「Rejection Confirmed」頁面以使用幾乎無人知曉的「賬戶分享」功能。
在 Google 顯示「確認拒絕」的頁面時,黑客可透過修改網址路徑中的 1 的字元得到系統回應並在用戶電郵的欄位中顯示了其他用戶的電郵地址,藉此得到一系列甚至所有的 Gmail 的用戶地址。
Hafif 透過使用一款名為 DirBuster 的暴力破解軟件,自動將網址中的路徑部分中的關鍵字元作出修改,從而在短短兩小時內就獲得 37,000 位 Gmail 用戶的電郵地址。
有理由相信各 Gmail 用戶已被勘探
Hafif 最近在其部落格上將此存在以久的漏洞公開,並向外國媒體指他可選擇潛伏在幕後,不斷地重復擷取用戶的 Gmail 地址。他更指他有理由相信,所有的 Gmail 地址都已被勘探過。
他續指此技術可用作查閱包括商業帳戶在內的所有電郵地址。在 Hafif 「測試」時,Google 曾偵測在此不尋常的舉動並阻擋住了他的存取。而他只需要更改網址路徑中的其中 1 個字即可以繼續他的「測試」。
如同我們的手機號碼,即使黑客只得到用戶的電郵地址仍不足以對帳戶安全構成威脅,但成千上萬的用戶資料仍可轉售到如廣告公司等,從而獲得可觀的價錢。
似乎 Google 已發現此漏洞的曝光,因些現在此漏洞已被堵塞,可算是不幸中之大幸。
Source:Neowin