Ja liels uzņēmums, piemēram google vēlas, lai arī turpmāk visi lietotāji, kuri ikdienā izmanto tā pakalpojumus un uzticas tam visu savu privātumu un dokumentāciju, ir redzami kā vieni no drošākajiem uzņēmumiem pasaulē, viņiem jāpārliecinās, ka viņu drošība ir patiešām garantēta. Viens no veidiem, kā Google var pārbaudīt, vai tā sistēmas ir drošas, ir atlīdzības programma ar kuru ikviens tiek aicināts atrast drošības caurumu. Atkarībā no tā smaguma, cilvēks, kurš to atklāj, var uzvarēt ASV dolāra 20.000.
Pateicoties tieši šādām programmām, ir daudz lietotāju, kas specializējas drošībā, kuri praktiski katru dienu strādā, lai atrastu jebkura veida problēmas, ziņotu par tām un tādējādi, no vienas puses, Google tās praktiski nekavējoties salabo, un viņi paši var nopelnīt naudu, darot to, ko viņi visvairāk vēlas. Šoreiz man jums jāpastāsta par Ahmeds Mehtabs, Security Fuss izpilddirektors un Pakistānas pētnieks, kurš tikko atrada diezgan liela drošības problēma Gmail verifikācijas procesā.
Ahmeds Mehtabs atklāj procesu, kas nepieciešams, lai nozagtu Gmail kontu.
Kā tika komentēts, bez lielām IT un drošības zināšanām, jebkurš lietotājs to varēja pārņemt kontroli pār kontu izmantojot vienkāršu procedūru. Pirmkārt, lai veiktu šo darbību, SMTP adresātu nevar izveidot savienojumu, konts ir deaktivizēts, saņēmējs iepriekš ir bloķējis sūtītāju vai nav ID, uz kuru nosūtīt apstiprinājuma ziņojumu.
Ja ir izpildīts viens no šiem četriem nosacījumiem, lietotājs, kurš vēlas nozagt kontu, varēs apstiprināt e-pasta īpašumtiesības, nosūtot e-pastu uzņēmumam Google. Meklētājprogramma automātiski nosūta atbildi uz minēto adresi apstiprināšanai, jo adrese nespēj saņemt apstiprinājuma e-pastu, oriģinālam tiek nosūtīts ziņojums ar kodu, lai atgūtu kontu. Tādā veidā uzbrucējs var pārņemt kontroli pār minēto kontu.
Más Información: Tehniskais tārps