Якщо велика компанія, така як Google хоче продовжувати бачити всіх користувачів, які щодня користуються її послугами і довіряють їй всю свою конфіденційність та документацію, як одну з найбезпечніших компаній у світі, вони повинні перевірити, що їх безпека дійсно гарантована. Один із способів перевірити безпеку своїх систем через Google програма винагород в результаті чого будь-кого запрошують знайти діру в безпеці. Залежно від тяжкості цього, людина, яка його виявить, може перемогти Долар США 20.000.
Завдяки саме таким програмам є багато користувачів, які спеціалізуються на безпеці, які працюють практично щодня, щоб знайти будь-яку проблему, повідомити про це, і, отже, з одного боку, Google їх практично відразу відновлює, і вони самі можуть заробити гроші, роблячи те, що вони найбільше хочуть. Цього разу я повинен поговорити з вами про це Ахмед Мехтаб, Генеральний директор Security Fuss та пакистанський дослідник, який щойно знайшов досить велика проблема безпеки в процесі перевірки Gmail.
Ахмед Мехтаб розкриває процес, необхідний для викрадення облікового запису Gmail.
Як коментували, без потреби в значних ІТ та знаннях безпеки, будь-який користувач міг взяти під контроль рахунок зокрема, використовуючи просту процедуру. Перш за все, для здійснення цієї дії одержувач SMTP не може бути підключений, обліковий запис деактивовано, одержувач раніше заблокував відправника або ідентифікатора, куди слід надіслати повідомлення про підтвердження, не існує.
Якщо одна з цих чотирьох умов виконується, користувач, який хоче викрасти обліковий запис, може підтвердити право власності на електронний лист, надіславши електронне повідомлення в Google. Повністю автоматичним способом пошукова машина надсилає відповідь на вказану адресу для підтвердження, оскільки адреса не може отримати електронний лист із підтвердженням, повідомлення повертається до оригіналу з кодом для відновлення облікового запису. Таким чином зловмисник може взяти під контроль згаданий рахунок.
посилання Технічний черв’як