El
investigador de seguridad Oren Hafif reveló que había descubierto una
vulnerabilidad en Gmail que durante años podía haber dejado expuestos
todos los nombres de las direcciones de correo electrónico de todos los
usuarios, haciéndolas susceptibles a phishing, spam y a intentos de
acceso no autorizados.
La metodología usada por Hafif explotaba
la opción que permite que los usuarios puedan autorizar que otras
terceras partes accedan a sus cuentas, y sólo tenía que modificar una
URL que se genera cuando un usuario no autorizado intenta ganar la
entrada a una cuenta utilizando la función de delegación.
Al
cambiar un carácter en la URL, Hafif descubrió que la página mostraba
una dirección de correo electrónico diferente, junto con el mensaje de
"decline". Luego, automatizando el proceso con DirBuster, fue capaz de
obtener casi 40.000 direcciones de correo electrónico en sólo dos horas.
"Yo podría haber hecho ésto potencialmente sin fin", dice Hafif. "Tengo todas las razones para creer que podría haber sido extraídas todas las direcciones de Gmail."
Hafif
reveló la vulnerabilidad de Gmail de forma privada, y el fallo ya se ha
mitigado antes de esta revelación pública. Gmail dice que en ningún
momento hubo riesgo de exposición de las contraseñas pero sin embargo,
la extracción de direcciones de correo electrónico con el método de
Hafif podría haber sido un negocio redondo para spammers y estafadores.
Hafif publicó también el siguiente video para demostrar la técnica: