Jos suuri yritys, kuten Google haluaa, että kaikki käyttäjät, jotka käyttävät sen palveluita päivittäin ja luottavat siihen kaikessa yksityisyydessään ja asiakirjoissaan, näkevät edelleen yhden turvallisimmista yrityksistä maailmassa, heidän on varmistettava, että heidän turvallisuutensa on todella taattu. Yksi tapa, jolla Google voi varmistaa, että sen järjestelmät ovat turvallisia, on palkitsemisohjelma jolloin kuka tahansa kutsutaan löytämään turva-aukko. Sen vakavuudesta riippuen henkilö, joka huomaa sen, voi voittaa Yhdysvaltain dollari 20.000.
Juuri tällaisten ohjelmien ansiosta monet tietoturvaan erikoistuneet käyttäjät työskentelevät käytännössä päivittäin etsimään minkä tahansa tyyppisiä ongelmia, ilmoittamaan niistä ja siten toisaalta Google korjaa ne käytännössä välittömästi ja he voivat ansaita rahaa tekemällä mitä he haluavat eniten. Tällä kertaa minun täytyy kertoa teille ahmed mehtab, Security Fussin toimitusjohtaja ja Pakistanin tutkija, joka juuri löysi a melko suuri turvallisuuskysymys Gmailin vahvistusprosessissa.
Ahmed Mehtab paljastaa prosessin, jota tarvitaan Gmail-tilin varastamiseen.
Kuten on kommentoitu, ilman suurta tietotekniikan ja tietoturvan osaamista, kuka tahansa käyttäjä voisi hallita tiliä erityisesti yksinkertaisella menettelyllä. Ensinnäkin tämän toiminnon suorittamiseksi SMTP-vastaanottajaa ei voida yhdistää, tili on poistettu käytöstä, vastaanottaja on aiemmin estänyt lähettäjän tai tunnusta, johon vahvistusviesti lähetetään, ei ole.
Jos jokin näistä neljästä ehdosta täyttyy, käyttäjä, joka haluaa varastaa tilin, voi vahvistaa sähköpostin omistajuuden lähettämällä sähköpostia Googlelle. Täysin automaattisella tavalla hakukone lähettää vastauksen mainittuun osoitteeseen vahvistusta varten, koska osoite ei pysty vastaanottamaan vahvistusviestiä, viesti palautetaan alkuperäiselle koodilla tilin palauttamiseksi. Tällä tavoin hyökkääjä voi ottaa haltuunsa mainitun tilin.
Más información: Techworm