Un bug de Gmail desveló las direcciones de correo de todos sus usuarios
Noticias relacionadas
- El nuevo doodle de Google celebra el aniversario del Apolo 11 y la llegada a la Luna
- Google te pagará tres veces más si encuentras fallos en sus productos
- Cuando veas porno vigila la puerta... y la privacidad: Google y Facebook saben lo que ves
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
Una dirección de correo que realmente existe y es usada puede llegar a ser muy valiosa para un spammer, y por eso debemos tener cuidado dónde la compartimos y con quién. Pero si usamos Gmail es posible que todas nuestras precauciones no hayan servido para nada, ya que un bug del servicio permitió obtener las direcciones de correo que están siendo usadas en todo el mundo.
El descubridor del bug,Oren Hafif utilizó una función algo desconocida de Gmail, tan desconocida que probablemente por eso este bug haya pasado desapercibido, probablemente durante años. Se trata de la función para compartir la cuenta de correo con otros usuarios, en lo que se conoce como “delegación de correo electrónico”; es decir, que otra persona pueda leer y administrar nuestros correos electrónicos, muy útil en el caso de cuentas empresariales, por ejemplo.
Problema oculto en una función casi desconocida
El problema estaba en la página web que nos aparece cuando se nos deniega el acceso delegado a una cuenta, mas concretamente en la dirección URL. Hafif descubrió que podía modificar esa dirección para buscar por todas las direcciones de correo posibles, y si salía la denegación de acceso, es que la cuenta existía; solo quedaba automatizar el proceso con un script, y el resultado es que en apenas dos horas consiguieron las direcciones de 37.000 cuentas de Gmail existentes.
Por lo tanto, un atacante podría haber obtenido una lista completa de cuentas de Gmail en apenas semanas o incluso días; no se sabe si alguien ya conocía este bug y si lo aprovechó, pero si lo hubiera hecho esa persona tendría un archivo muy valioso en sus manos. Con una lista semejante se pueden lanzar envíos de spam masivo, phishing, o se pueden realizar intentos para averiguar la contraseña. Sin embargo hay que dejar claro que datos como la contraseña o si realmente las cuentas son usadas habitualmente no pudieron ser obtenidos de esta forma.
Google se desentiende
Solo gracias a la buena voluntad de Oren Hafif este método no se ha hecho público antes. Después de informar a Google, esta no solucionó el bug hasta un mes después, e incluso inicialmente se negó a pagarle como promete su programa de recompensas para hackers; solo después de pensárselo decidió pagarle 500 dólares, una cifra muy baja para lo que estamos acostumbrados a ver. La única declaración oficial de Google sobre este bug es la confirmación de que está solucionado y que pagó a Hafif, pero no quiso hacer mas comentarios.
Fuente | Wired