Ak veľká spoločnosť ako napr Google chce, aby ho naďalej vnímali všetci používatelia, ktorí dennodenne využívajú jeho služby, a dôverujú mu celým svojím súkromím a dokumentáciou, pretože jedna z najbezpečnejších spoločností na svete musí overovať, či je ich bezpečnosť skutočne zaručená. Jedným zo spôsobov, ako môže Google overiť, či sú jeho systémy zabezpečené, je program odmien ktorým je ktokoľvek vyzvaný k nájdeniu bezpečnostnej diery. Osoba, ktorá to zistí, môže podľa svojej závažnosti vyhrať až Americký dolár 20.000.
Vďaka programom, ako je tento, existuje veľa používateľov špecializovaných na bezpečnosť, ktorí prakticky každý deň pracujú na hľadaní akýchkoľvek problémov, hlásení a na jednej strane ich teda Google opravuje prakticky okamžite a oni sami môžu zarobiť nejaké peniaze tým, že najviac chcú. Tentokrát s vami musím hovoriť o ahmed mehtab, Generálny riaditeľ spoločnosti Security Fuss a pakistanský výskumník, ktorý práve našiel a dosť veľký bezpečnostný problém v procese overovania služby Gmail.
Ahmed Mehtab odhaľuje proces potrebný na odcudzenie účtu Gmail.
Ako už bolo uvedené, bez potreby rozsiahlych IT a bezpečnostných znalostí, mohol by ktokoľvek prevziať kontrolu nad účtom konkrétne pomocou jednoduchého postupu. Najskôr, aby sa mohla vykonať táto akcia, nie je možné pripojiť príjemcu SMTP, účet bol deaktivovaný, príjemca predtým zablokoval odosielateľa alebo neexistuje ID, kam sa má poslať potvrdzovacia správa.
Ak je splnená jedna z týchto štyroch podmienok, používateľ, ktorý chce ukradnúť účet, bude môcť potvrdiť vlastníctvo e-mailu zaslaním e-mailu spoločnosti Google. Úplne automatickým spôsobom odošle vyhľadávač odpoveď na uvedenú adresu na potvrdenie, pretože adresa nie je schopná prijať potvrdzovací e-mail, správa sa vráti na pôvodnú správu s kódom na obnovenie účtu. Týmto spôsobom môže útočník prevziať kontrolu nad uvedeným účtom.
Viac informácií: techworm