流行的google郵件服務——gmail——已經被曝光出現了一個重大的安全漏洞�,并且可導致黑客能夠提取谷歌數據庫中每一個用戶的郵件地址���。其實早在去年的時候�,一名“滲透”方面的安全專家——orenhafif——就已經發(fā)現了這點�����,并且證實可以在編輯gmail“rejectionconfirmed”頁面的時候�����,操縱冷僻的“賬戶分享”功能�����。
當拒絕訪問一個共享賬戶����,并改動頁面url中的1個字符之后,hafif發(fā)現自己可以讓頁面告訴他“已被拒絕進入另一個郵件地址”��。
通過使用一款名叫“dirbuster”的黑客暴力程序�����,hafif將改動字符的流程變成了自動式的。在隨后的2個小時內��,他順利地將37000個gmail地址保存到了一個文本文件中�。
由此看來,這種方法確實可以提取出個人的郵件地址��。鑒于這個問題長期未能得到修復����,hafif已于本周二發(fā)表了一篇博文和視頻,并且知會了wired:
“其實我可以把提取的工作不停地做下去�。我有充分的理由相信���,每一個gmail都有可能已經被別有用心的人‘開采’過了”����。
hafif表示����,這項技術可能被用于查看google郵件托管服務上任何人的郵件地址。在他測試的某一時刻��,google探測到了他的舉動,并且組織了他的訪問���。
不過hafif只需簡單地修改url中的另一個字符��,就可以把這個流程繼續(xù)進行下去了��。
當然��,盡管單獨的郵件地址尚不能用于直接的賬戶訪問�����,但是成千上萬的名單可能會被出售給垃圾郵件發(fā)送者或網絡釣魚者牟利�����。
最后��,值得慶幸的是�����,很多人或許從來不知道這個漏洞曾經存在過�,因為google已經把這個漏洞補上了�����。
