Milhões de endereços de contas Gmail podem ter sido expostos a vulnerabilidades em decorrência de uma falha de segurança trazida a público nesta semana. O pesquisador israelense Oren Hafif, responsável por levar o problema ao conhecimento da Google, alerta que não apenas “usuários comuns” podem ter sido atacados; até mesmo empresas que utilizam o sistema ficaram suscetíveis à ação.

Conforme explica Hafif, a falha faz uso da opção de compartilhamento do Gmail que permite a “delegação” de acesso a contas. Por meio de um token inserido sobre a URL, a extração randômica de endereços de email hospedados pela Google pode ser feita. Em comprovação à sua descoberta, o especialista utilizou o software DirBuster durante pouco mais de uma hora e conseguiu, de forma automatizada, 37 mil endereços eletrônicos. Apesar de não ser possível desvendar a senha dos usuários, o problema deixa as contas expostas a spams, phishings e, naturalmente, a ataques hackers (abaixo, Oren Hafif demonstra como o bug funcionava).

“Eu poderia ter feito este processo 'infinitamente'. Tenho todos os motivos para acreditar que todos os endereços Gmail existentes podem ter sido extraídos”, diz o pesquisador israelense. A Google levou um mês para corrigir a falha logo após ser alertada por Hafif – que recebeu US$ 500 pela sua descoberta. “Pense na quantidade de dinheiro que um spammer ou um país estaria disposto a pagar para obter toda a lista de endereços Gmail?”, desabafou o especialista ao mostrar-se desapontado com a recompensa obtida. Não se sabe quantas contas foram afetadas pela falha; o tempo de existência do problema também é outra incógnita. 

Cupons de desconto TecMundo: