Google заплатил $500 за уязвимость, раскрывшую 500 млн почтовых адресов

Израильский специалист по информационной безопасности нашел уязвимость, которая позволяла узнать полные почтовые адреса всех пользователей Gmail, пишет CNews. В благодарность Орен Хафиф получил лишь 500 долларов.

В Google не знали о существовании этой ошибки. Сколько лет она была актуальна, в точности неизвестно. Уязвимость могла быть использована не только для спама, но также фишинга и восстановления паролей к чужим аккаунтам.

Суть бага заключалась в модификации URL-запроса к сервису Gmail. Пользователи Gmail могут предоставлять доступ к своему аккаунту другим пользователям. Эта функция малоизвестна, отмечает Хафиф. Написав небольшое приложение и запустив его на компьютере, злоумышленник мог автоматически перебирать служебные символы в URL-запросе к чужому аккаунту и в конечном счете узнать его полный адрес.

Хафиф с помощью такого приложения смог получить адреса 37 тыс. аккаунтов за 2 часа перебора символов в запросе. Злоумышленник при этом может сохранять анонимность, используя сеть Tor или аналогичный способ, позволяющий скрыть реальный IP-адрес хакерской машины.

Комментарий Roem.ru: Александр Лямин, генеральный директор HighLoad Lab (разработчик анти-DDoS сервиса Qrator), считает, что найденная брешь - весьма слабая уязвимость. "Получили список ящиков Gmail - и? У Google спам-фильтр весь спам режет прекрасно. Максимум, что может быть - могут подбирать перебором пароли, но это тоже занятие презабавное".

(Обновлено в 17:56): Технический менеджер направления "Аудит и консалтинг" Group-IB Андрей Брызгин:

Итак, разберёмся с тем, как работает экпслойт, продемонстрированный Хафифом.

- Потенциальный злоумышленник генерирует словарь атаки простым перебором вариантов случайного (псевдослучайного) параметра одного из сервисных запросов почтового сервиса;

- Потенциальный нарушитель подбирает действующий запрос путём ещё одного перебора (т.н. Брутфорс, от английского brute force — грубая сила) с подстановкой в маску запроса;

- Анализируя ответы почтовой системы потенциальный нарушитель становится нарушителем реальным и получает адреса пользователей почтовой системы Gmail. В перспективе все существующие адреса почтового сервиса поискового гиганта, включая корпоративные учётные записи.

Позволяет ли данная уязвимость получить дополнительные привилегии в работе с данными учётными записями? Нет.

Что можно сделать с полной базой пользователей Gmail?

- Продать спамерам или самому стать спамером и устраивать по базе рассылки;

- Создавать и эксплуатировать целевые фишинговые ресурсы;

- Проводить типовые атаки на получение доступа к аккаунту с использованием сервиса восстановления паролей или социальной инженерии;

- Что-нибудь ещё в пределах воображения злоумышленника.

 Вопрос ключевой. Можно ли накопить подобную базу без проведения разработанной Хафифом атаки? Ответ — да, не всеобъемлющую, но достаточно полную базу пользовательских адресов можно собрать простым индексированием сети Интернет.

Резюме:

- Компания Google допустила ошибку в реализации алгоритмов управления аккаунтами. Данная ошибка открывает возможность ограниченного сбора информации о пользователях. Критичность полученной информации сомнительна;

- Механизмы предоставления доступа для бесплатных учётных записей и платных корпоративных аккаунтов были идентичны и уязвимы, что грустно для последних;

- Компания Google устранила ошибку по сигналу Хафифа и оценила труды её первооткрывателя (вернее, первого сообщившего о ней исследователя) по собственной методике.

Результирующая цифра составила $500. Спорить с ней сложно, зато можно сравнить. Например, с выплатой тому же Орену Хафифу в конце 2013 года. Напомним, тогда охотник за уязвимостями получил $5100 за эксплуатацию сразу нескольких брешей в системе восстановления паролей, приводящую к получения контроля над учётной записью.

Таким образом, пытливый исследователь может на основании истории выплат Google составить прогноз стоимости того или иного багрепорта, но окончательное решение так или иначе остаётся за "корпорацией добра".