Vulnerabilidad en Gmail permitía a un hacker conseguir todas las direcciones de correo

Vulnerabilidad en Gmail permitía a un hacker conseguir todas las direcciones de correo

Aunque se trata sólo de las direcciones y no las contraseñas, una base de datos de ese tipo puede ser usada de muchas formas.

Oren Hafif es un hacker (de los buenos) que trabaja en una compañía en Tel Aviv, quien salió a la palestra hoy luego de haber publicado una alarmante entrada en su blog personal: descubrió la forma de conseguir virtualmente todas las direcciones de correo electrónico de Gmail, sin permiso como es de esperarse.

Resulta que el investigador encntró un bug o vulnerabilidad que permite a cualquiera con los conocimientos suficientes realizar la maniobra, explotando una función de Gmail llamada “Gmail delegation feature” y que fue implementada por la compañía hace más de cuatro años.

Hafif sólo necesitó realizar un ataque de fuerza bruta para conseguir cerca de 37.000 direcciones de correo electrónico en dos horas, pudiendo haber seguido con el proceso eternamente para conseguirlas todas, como él mismo asegura:

Potencialmente, pude haber hecho esto para siempre. Tengo todos los motivos para creer que todas las direcciones de Gmail pudieron haber sido explotadas.

Esto permite imaginarnos que con la falla vigente durante cuatro años desde que Google implementó “Gmail delegation feature” en 2010, quizás alguien ya tiene una base de datos con absolutamente todas las direcciones de Gmail en su poder. Y eso sería alarmante, ya que es mucho lo que puede hacerse con una dirección de correo y más aún con una base de datos de todo Gmail; desde intentar acceder a las cuentas, hasta enviar spam y publicidad en forma delirante a todo el mundo.

¿Qué hizo Google al respecto?

Afortunadamente, una de las primeras cosas que hizo Oren Hafif un par de meses atrás cuando descubrió la falla fue avisar a Google. Y en la compañía se tomaron las cosas con demasiada calma, ya que demoraron más de un mes en arreglar la falla (sí, ya está arreglada) y al principio no quisieron recompensar a Hafif por su hallazgo, aunque finalmente accedieron a pagarle USD$500 por su trabajo.