Hekerji so povsem spregledali eno od največjih varnostnih lukenj Gmaila

Sedemindvajsetletni računalničar Oren Hafif je v obširni programski kodi Googlove e-poštne storitve, ki jo uporablja pol milijarde ljudi, našel napako, ta bi dobro podkovanemu in iznajdljivemu hekerju v samo nekaj dneh lahko omogočila pridobitev e-poštnih naslovov pravzaprav vseh uporabnikov Gmaila.

Z zlorabo hrošča, ki je po besedah Orena Hafifa obstajal leta, nepridiprav sicer ne bi mogel neposredno odkriti gesel milijonov uporabnikov, bi pa njihovi računi lahko hitro postali zbiralniki neželene pošte oziroma spama in žrtve spletnega ribarjenja s ponarejenimi vpisnimi obrazci ter napadov s programi za ugibanje gesel.

Krivec je deljeni dostop do spletne pošte Hafif je veliko grožnjo zasebnosti odjemalcev Googlove e-pošte odkril med preizkušanjem manj znane Gmailove funkcije, ta uporabnikom omogoča, da za dostopanje do računa pooblastijo drugo osebo.

S spreminjanjem spletnega naslova URL (tistega pod naslovno vrstico brskalnika, ki se začne s HTTPS), ki se pojavi, ko Gmail ob vnosu napačnega gesla zavrne prijavo v uporabniški račun osebe, ki je izdala pooblastilo, je Hafif dosegel, da mu je Gmail preprečil dostop do e-pošte nekoga tretjega, pri tem pa je bil prikazan ves e-poštni naslov dotičnega uporabnika.

Da bi se prepričal, da postopek deluje prav vsakič, ga je sam ponovil še nekajkrat, nato pa je proces avtomatiziral s programčkom DirBuster in v samo dveh urah zbral kar 37 tisoč Gmailovih naslovov.

"Postopek bi lahko ponavljal v neskončnost" Če bi imel dovolj časa, bi lahko izbrskal sleherni Gmailov e-poštni naslov, ki je bil kdajkoli ustvarjen, je prepričan Hafif. Zloraba tako preproste, a vendar dovolj dobro skrite varnostne luknje, do zdaj je ni odkril nihče razen Izraelca, sicer ne bi ogrozila le zasebnih uporabnikov, temveč tudi vse poslovne in javne entitete, katerih spletna komunikacija temelji na Googlovi e-pošti.

Najprej samo "hvala", nato piškava nagrada Internetni velikan je po Hafifovem obvestilu o hrošču potreboval kar mesec dni, da je napako odpravil, računalniškemu strokovnjaku iz Izraela pa se je Google, ta iz posebnega sklada redno bogato nagrajuje posameznike, ki odkrivajo napake storitev velikega G, naprej le zahvalil. Pozneje so mu izplačali smešnih 500 ameriških dolarjev, a Hafif zadeve kljub razočaranju ne bo nadalje zapletel s pritoževanjem, se pa vendarle sprašuje – le koliko bi bili za popoln seznam vseh Gmailovih naslovov pripravljeni plačati Kitajci?