El
investigador de seguridad Oren Hafif reveló que había descubierto una
vulnerabilidad en Gmail que durante años podía haber dejado expuestos
todos los nombres de las direcciones de correo electrónico de todos los
usuarios, haciéndolas susceptibles a phishing, spam y a intentos de
acceso no autorizados.
La metodología usada por Hafif explotaba
la opción que permite que los usuarios puedan autorizar que otras
terceras partes accedan a sus cuentas, y sólo tenía que modificar una
URL que se genera cuando un usuario no autorizado intenta ganar la
entrada a una cuenta utilizando la función de delegación.
Al
cambiar un carácter en la URL, Hafif descubrió que la página mostraba
una dirección de correo electrónico diferente, junto con el mensaje de
"decline". Luego, automatizando el proceso con DirBuster, fue capaz de
obtener casi 40.000 direcciones de correo electrónico en sólo dos horas.
"Yo podría haber hecho ésto potencialmente sin fin",... Continuar leyendo