Las cuentas de usuario de Gmail habías estado siempre muy protegidas de los hackers, pero os imagináis que un error proveniente del mismo servicio podrá haber dado acceso al listado entero de cuentas validas de Gmail en el mundo.
Eso es lo que ha encontrado un especialista en seguridad llamado Oren Hafif, el cual descubrió un bug en el procedimiento de invitar a otras personas para que utilicen nuestra cuenta de correo Gmail.
Para los que no recuerdan siempre se puede permitir que otro usuario utilice nuestra cuenta, donde al momento de invitarlo este tenía dos opciones la primera aceptando la invitación y otra rechazarla siendo esta segunda la que contenía el fallo de seguridad.
Al parecer si cambiabas un caracter en la URL desde donde proviene la invitación original, entonces este de forma aleatoria te daba otra cuenta de correo valida Gmail, pues acto seguido Oren junto a su empresa de seguridad crearon un trozo de código que alteraba caracteres de forma aleatoria y recogía la dirección de correo generada.
El procedimiento lo dejaron ejecutando unas 2 horas y se hicieron con 37.000 cuentas de correo. Lo que sorprendió a Oren es que el bug una vez reportado no obtuvo una solución inmediata, al contrario estuvo mucho tiempo así, con lo cual es posible que algún otro hacker tenga millones de cuentas de correo en sus manos.
Cuentas de correo que se pueden vender a todos los que distribuyen Spam, Malware, Pishing, ect… teniendo un valor importante para todos ellos que siempre necesitan correos validos para ejecutar sus acciones. Al final Oren solo obtuvo 500$ de recompensa por el bug, pues no lo consideraban un error de programación según Google.
Aquí tienen un vídeo que muestra la acción del bug de Gmail:
[youtube]https://www.youtube.com/watch?v=bMmp-mx_03Q[/youtube]
Vía: Wired
Pingback: Bitacoras.com