Обнаружена уязвимость в Google, которой могли воспользоваться хакеры для взлома почты украинских политиков
Израильский исследователь Орен Хафифи обнаружил брешь в системе безопасности Google, которая позволяла злоумышленникам получить пароль от аккаунта Google сразу же после его изменения, пишет SecurityLab. Хафифи использовал межсайтовый скриптинг (XSS), подделку межсайтовых запросов (CSRF) и обход парольного потока (password flow bypass) для совершения атаки.
Эта уязвимость могла использоваться хакерами из Anonymous для взлома почтовых ящиков украинских политиков, находящихся на Gmail.com. В почтовых логах видно, что жертвы в разное время меняли пароль от электронной почты и хакеры могли получить доступ к аккаунту Google. После чего, злоумышленники могли скопировать переписку с сервера и выложить ее в сеть в подходящий момент (например, накануне споров про евроинтеграцию).
Похищение пароля от учетной записи Google затрагивает не только электронный ящик, но и прочие сервисы Google – к примеру, Google Wallet или облачное хранилище Google Drive – и ставит под угрозу конфиденциальную информацию пользователя.
Процедура взлома аккаунта выглядела следующим образом. Вначале пользователь получает фишинговое электронное письмо якобы от Google, в котором написано, что пользователю требуется подтвердить подлинность учетной записи либо сменить сам пароль, для чего следует перейти по предоставленной в письме ссылке. Она ведет на сайт атакующего, откуда будут выполняться все CSRF-запросы. Вслед за этим происходит запуск XSS-атаки, а ничего не подозревающая жертва создает новый пароль, который сразу же попадает в руки злоумышленников.
Google уже исправила брешь в системе, а за продемонстрированную уязвимость Хафифи вскоре должен получить $5100 и место в Зале славы Google, о чем он написал в обсуждении на Reddit.
Напомним, что главными «ньюзмейкерами» прошлой недели стали хакеры, причисляющие себя к группировке Anonymous Ukraine. Они выложили в сеть переписку должностных лиц Министерства иностранных дел, депутатов от Партии Регионов, боксера Виталия Кличко и документы украинской таможни. Также были взломаны страницы Виталия Кличко в социальных сетях Facebook и «ВКонтакте». Стоит отметить, что большинство вышеупомянутых почтовых ящиков, находятся на домене Gmail.com.
Комментарии | 6
«за продемонстрированную уязвимость Хафифи вскоре должен получить $5100»
Ничего не попутали?
Он сдал уязвимость Google, за это получил вознаграждение. Что тут путать?
речь идет о размере вознаграждения. автору показалось «маловато». в принципе так и есть.
Это уже к Google вопросы
переход на другой сайт под видом смены пароля … такие причем тут гугл ? если юзер кликает на что попало
если б мне за фейк платили по 5000$ я б милионером был уже тем более зачем менять пароль можно и по его зайти он все равно его на фейковой введет