Undergoogle

segunda-feira, janeiro 01, 2007

Falha grave no GMail permite roubo da lista de contatos


Utilizando um certo tipo de script, a tarefa de roubar a lista de contatos de usuários do GMail é uma tarefa fácil, desde que o usuário visite certos sites. A única condição para que isso aconteça é estar logado no serviço no momento do ataque. O problema ocorre pelo fato de o serviço armazenar as listas de contatos em arquivos javascript. Se você entrar no GMail e clicar aqui verá detalhes de seus contatos, bem como o endereço de e-mail (salve o arquivo como txt). O Hack foi testado no Internet Explorer 7, Opera e Firefox e aparenta funcionar em todos os três. Para ver uma demonstração do ataque, visite este site. Ainda que de acordo com a página seus dados não sejam salvos, não nos responsabilizaremos por quaisquer problemas.

Um fato interessante é que o endereço de e-mail que o site alega ser seu nunca é. Ele também parece não ser capaz de obter um grande número de contatos ao mesmo tempo.

Adaptado de: Tech Reads

UPDATE: O Google Reportou, de acordo com este site, que a falha já foi corrigida. No entanto, percebemos que os links ainda funcionam e ainda obtém informações sobre os contatos.

postado por Filipe Arcanjo às segunda-feira, janeiro 01, 2007

4 Comentários:

  • Primeiro e-mails deletados, depois falhas escabrosas de segurança. Parece que o mar de rosas do Gmail (do Google?) acabou. :(

    Por Blogger Pedro, Às 01 janeiro, 2007  

  • que drama é esse?
    são pequenos problemas, ambos resolvíveis. se falhas graves fossem sinônimos de fim de empresa, a microsoft já teria acabado há muito tempo.

    relaxem! :)

    Por Blogger Lucas.Alencar, Às 01 janeiro, 2007  

  • Aqui só aparecem mensagens de erro nos dois links.

    Por Blogger Unknown, Às 01 janeiro, 2007  

  • Parece que finalmente a falha foi consertada, rápido, menos de 48 horas depois de publicada, mas ainda assim tempo demais para os spammers abastecerem-se de muitos e muitos emails.

    Acredito que colocaram limitação para mesmo domínio, pois o acesso do arquivo direto continua, porém quando se tenta enviar para outro ponto falha.

    Direto:
    https://docs.google.com/data/contacts
    Tentar enviar para outro ponto:
    https://docs.google.com/data/contacts?out=js&show=ALL&psort=Affinity&callback=google&max=99999

    Um final de ano complicado para o Gmail, mas ainda estou mais preocupado com a falha anterior e o caso dos emails e contatos desaparecidos...

    []'s Gandalf Wizard

    Por Anonymous Anônimo, Às 01 janeiro, 2007  

Postar um comentário

Assinar Postar comentários [Atom]



<< Página inicial