Un bug in Gmail ha potenzialmente permesso fino a qualche giorno addietro di avere accesso a milioni d’indirizzi di posta elettronica del servizio. Bastava, almeno stando a quanto racconta un ricercatore di Tel Aviv, eseguire la modifica di una serie di caratteri (token) in un indirizzo e avere un po’ di tempo a disposizione. In un video è stato mostrato come ottenere 37.000 indirizzi in meno di due ore sfruttando un semplice metodo di forza bruta.
Oren Hafif, ricercatore di Trustwave, ha iniziato a lavorare sul bug a novembre e rivelando pubblicamente i dettagli di quanto aveva individuato la scorsa settimana con un post sul suo blog. Hafif, sfruttando un software denominato DirBuster e un dizionario creato ad hoc con dei token, ha mostrato la possibilità di eseguire attacchi su larga scala, collezionando con questo sistema migliaia di indirizzi validi; con settimane di tempo a disposizione, gli indirizzi che era possibile recuperare potevano essere milioni, sfruttandoli potenzialmente per generare email di spam, phishing e attacchi mirati a rubare le credenziali di accesso degli utenti.
La soluzione è arrivata un mese dopo aver segnalato il problema a Google. Inizialmente questi ultimi si erano rifiutati di pagare i premi in denaro riservati a chi individua bug in alcuni servizi, ma alla fine l’ha premiato con 500$.
