Ha egy nagy cég, mint pl Google azt akarja, hogy továbbra is minden olyan felhasználó láthassa, aki szolgáltatásait naponta használja, és minden magánéletével és dokumentációjával megbízza, mint a világ egyik legbiztonságosabb vállalatát, ellenőriznie kell, hogy biztonsága valóban garantált-e. A Google az egyik módja annak, hogy ellenőrizze, hogy rendszerei biztonságosak-e jutalom program ezáltal bárkit meghívnak, hogy találjon biztonsági rést. Súlyosságától függően az a személy nyerhet, aki felfedezi USA dollár 20.000.
Pontosan az ilyen programoknak köszönhetően sok a biztonságra szakosodott felhasználó, akik gyakorlatilag minden nap azon dolgoznak, hogy bármilyen problémát felkutassanak, jelentést tegyenek, és így egyrészt a Google gyakorlatilag azonnal kijavítja őket, és maguk is kereshetnek pénzt a legjobban szeretnék. Ezúttal mesélnem kell nektek ahmed mehtab, A Security Fuss vezérigazgatója és pakisztáni kutató, aki most találta meg a elég nagy biztonsági probléma a Gmail ellenőrzési folyamatában.
Ahmed Mehtab elárulja a Gmail-fiók ellopásához szükséges folyamatot.
Mint megjegyezték, nagy informatikai és biztonsági ismeretek nélkül, bármely felhasználó megteheti átveszi a számla irányítását kifejezetten egyszerű eljárás alkalmazásával. Először is, a művelet végrehajtásához az SMTP-címzettet nem lehet összekapcsolni, a fiókot deaktiválták, a címzett korábban letiltotta a feladót, vagy nem létezik azonosító, ahová a megerősítő üzenetet el kell küldeni.
Ha e négy feltétel egyike teljesül, a fiókot ellopni akaró felhasználó megerősítheti az e-mail tulajdonjogát azzal, hogy e-mailt küld a Google-nak. A keresőmotor automatikusan választ küld az említett címre megerősítés céljából, mivel a cím nem tudja megkapni a megerősítő e-mailt, a fiók helyreállítása érdekében egy üzenet érkezik az eredetihez kóddal. Ily módon a támadó átveheti az említett fiók irányítását.
További információ: Techworm