Достаточно известный дизайнер месяц назад подвергся атаке [пока] неизвестных скрипт киддисов, которые использовали уязвимость в любимом многими (в том числе мной) Гмыле.
История уже успела хорошо побродить по Сети, но если кто не видел — будет полезна многим. Опущу ненужные подробности (их при желании можно прочесть в официальном обращении Дэвида), попробую передать суть.
Злоумышленники использовали обидно простую брешь в безопасности ГМыла. Скрипты на зараженных сайтах отправляли POST запрос на страницу управления фильтрами в гмыле, при этом, если у юзера была активна сессия в последнем (к примеру, открыт инбокс в соседней вкладке), то запрос успешно исполнялся. А состоял этот запрос в добавлении простенького фильтра Matches: transfer-approval.com Do this: Forward to ba_marame_pooli@yahoo.com, Skip Inbox, Delete it, т.е. в пересылке всех входящих сообщений, содержащих строку 'transfer-approval.com' на указанный адрес, не сохраняя само письмо и форварды в ящике.
Сей эксплойт стар как мир, но я привык, что с его помощью можно от силы переслать все личные сообщения с какого-нибудь форума, но уж никак не атаковать такие серьезные сервисы, как gmail.
Дэвид отделался достаточно легко — у него увели домен с 2к уников в день и требовали $500 за возврат (по прошествии недели, кстати, снизили цену до $250, но он отказался выкупать домен даже за $1 из принципа). Такой «несерьезный» урон обусловлен вполне объективными причинами. Узнав из его блога о том, что он собирается в отпуск, киддисы сделали предположение, что вряд-ли он будет часто проверять свои фильтры и заказали перенос домена черз хелпдеск хостера. Для успешного переноса необходимо подтверждение, приходящее на почту, для этого и был установлен фильтр. Но в теории, если пользователь не пользуется фильтрами вообще, то так можно было в течение длительного времени уводить любые письма, содержащие слово 'password', к примеру.
Сейчас брешь уже заделана.
Мораль — даже у всемогущего Гугла, которого уже многие боятся, могут оказаться совершенно детские уязвимости. А всем разработчикам — на заметку, не допускайте подобного у себя :)
История уже успела хорошо побродить по Сети, но если кто не видел — будет полезна многим. Опущу ненужные подробности (их при желании можно прочесть в официальном обращении Дэвида), попробую передать суть.
Злоумышленники использовали обидно простую брешь в безопасности ГМыла. Скрипты на зараженных сайтах отправляли POST запрос на страницу управления фильтрами в гмыле, при этом, если у юзера была активна сессия в последнем (к примеру, открыт инбокс в соседней вкладке), то запрос успешно исполнялся. А состоял этот запрос в добавлении простенького фильтра Matches: transfer-approval.com Do this: Forward to ba_marame_pooli@yahoo.com, Skip Inbox, Delete it, т.е. в пересылке всех входящих сообщений, содержащих строку 'transfer-approval.com' на указанный адрес, не сохраняя само письмо и форварды в ящике.
Сей эксплойт стар как мир, но я привык, что с его помощью можно от силы переслать все личные сообщения с какого-нибудь форума, но уж никак не атаковать такие серьезные сервисы, как gmail.
Дэвид отделался достаточно легко — у него увели домен с 2к уников в день и требовали $500 за возврат (по прошествии недели, кстати, снизили цену до $250, но он отказался выкупать домен даже за $1 из принципа). Такой «несерьезный» урон обусловлен вполне объективными причинами. Узнав из его блога о том, что он собирается в отпуск, киддисы сделали предположение, что вряд-ли он будет часто проверять свои фильтры и заказали перенос домена черз хелпдеск хостера. Для успешного переноса необходимо подтверждение, приходящее на почту, для этого и был установлен фильтр. Но в теории, если пользователь не пользуется фильтрами вообще, то так можно было в течение длительного времени уводить любые письма, содержащие слово 'password', к примеру.
Сейчас брешь уже заделана.
Мораль — даже у всемогущего Гугла, которого уже многие боятся, могут оказаться совершенно детские уязвимости. А всем разработчикам — на заметку, не допускайте подобного у себя :)
