Une faille Gmail a failli donner les adresses de tout le monde |
————— 13 Juin 2014 à 19h50 —— 16326 vues
Une faille Gmail a failli donner les adresses de tout le monde |
————— 13 Juin 2014 à 19h50 —— 16326 vues
Oren Hafif est un spécialiste des failles de sécurité, il aime les chercher, les exploiter et enfin les dévoiler pour qu'elles soient réparées et toucher par la même un petit billet au passage. Avec la dernière faille qu'il a trouvée sur le service Gmail de Google, il a pu se faire $500.
Si vous ne le savez pas, il est possible de partager l'accès à un compte Gmail. Vous ajoutez l'adresse de la personne de confiance dans la partie configuration de votre compte et hop, cette dernière reçoit un mail lui proposant d'accepter et refuser. C'est ici qu'il a trouvé la faille, après un refus, vous êtes redirigé vers une page Google affichant l'adresse email de la personne et son refus. En bricolant simplement l'URL de cette page, il a réussi à faire apparaitre d'autres adresses d'utilisateur du service et même des comptes pro ou encore les adresses de certains employés du géant du Web. Après un petit bricolage et l'utilisation de DirBuster un gentil petit logiciel qui hack de façon assez brutale (oui, ça s'appelle "Brute-Force" cette procédure) en spammant des requêtes, il a réussi à récupérer un bon millier d'adresses en seulement quelques heures.
Google a de la chance, Oren fait ça par passion et aussi un poil pour la thune, mais quelqu'un de mal intentionné n'aurait eu aucun mal à revendre des listings d'email à des boîtes qui s'en seraient servies à des fins commerciales (oui, du spam quoi) ce qui aurait pu lui rapporter beaucoup plus gros. Merci Oren de ne pas être vénal et d'agir dans l'ombre pour protéger les utilisateurs ! (Source : Wired)
Un poil avant ?Bon plan: Sapphire R9 290 4Go Tri-X + 3 jeux à 316,70€ livrée en Relais | Un peu plus tard ...Abe reviendra en 2015 sur PC, enfin ça avance ! |