Duża część internautów posiada konto Google, które jest wykorzystywane do korzystania z usług takich jak Gmail, iGoogle, czy YouTube. Takie osoby odwiedzając odpowiednio spreparowane strony www mogły bez swojej wiedzy udostępnić np. swój adres e-mail.
Sposób działania był bardzo prosty – wykonanie odpowiedniej strony www, która wykorzysta znalezioną lukę w systemie kont Google. Następnie, osoba, która wejdzie na podany adres w sposób automatyczny pozostawiała swój adres e-mailowy, umożliwiając stworzenie dość pokaźnej bazy, która mogła być wykorzystana np. do masowego mailingu.
Problem dotyczył Google Apps Script API – błąd pozwalał na wyciągnięcie wyłącznie adresów e-mailowych od osób, które korzystały z poczty Gmail. Luka była na tyle poważna, że pozwalała wysłać wiadomość z nagłówkiem, który niemal uniemożliwiał przechwycenie maila przez bardzo skuteczny system antyspamowy.
Ciekawostką jest to, że korzystając z dowolnej przeglądarki, która jest wyposażona w tryb prywatny (tzw. „tryb porno”) nadal byliśmy narażeni na możliwość pozostawienia swojego adresu e-mail na specjalnej stronie. Zgodnie z informacjami opublikowanymi przez Google – luka została już usunięta.
Udostępnij ten artykuł
Zostaw komentarz lub opinię
