Gmail-Lücke legte alle Mail-Adressen offen
Sicherheitsforscher Oren Hafif war es gelungen, über eine unzureichende Schnittstelle in Gmail (Google Mail)
registrierte E-Mail-Adressen und damit meist Google-IDs zu ermitteln. Angreifer und Spammer konnten so einen Teil der Konto-Informationen für ihre Zwecke missbrauchen. Mittlerweile hat Google die Lücke geschlossen, die vermutlich seit Ende 2010 existiert. Ob die Lücke in den letzten drei Jahren missbraucht wurde, ist nicht bekannt.
Hafif zufolge war die Gmail-Funktion zur Verknüpfung mehrerer Google-IDs in ein gemeinsames Postfach fehlerhaft. Hier setzte Google ein kleines ungesichertes Token (Zeichencode) ein, das durchprobiert werden konnte und jedes Mal zu einer Webseite mit der zugehörigen E-Mail-Adresse führte. Hafif war es so gelungen, in kurzer Zeit mehr als 30.000 Gmail-Adressen zu ermitteln.
Nachdem Google informiert wurde, verging einen Monat, bis die Lücke nicht mehr vorhanden war. Offenbar maß Google der einfachen Aufdeckung von Gmail-Adressen eine geringe Bedeutung bei, denn auch die Belohnung fiel mit 500 US-Dollar vergleichsweise gering aus. Gegenüber Medienvertretern wollte Google die Hintergründe nicht kommentieren.
Weiterführende Links: