Une faille Gmail a failli donner les adresses de tout le monde

Oren Hafif est un spécialiste des failles de sécurité, il aime les chercher, les exploiter et enfin les dévoiler pour qu'elles soient réparées et toucher par la même un petit billet au passage. Avec la dernière faille qu'il a trouvée sur le service Gmail de Google, il a pu se faire $500.

Si vous ne le savez pas, il est possible de partager l'accès à un compte Gmail. Vous ajoutez l'adresse de la personne de confiance dans la partie configuration de votre compte et hop, cette dernière reçoit un mail lui proposant d'accepter et refuser. C'est ici qu'il a trouvé la faille, après un refus, vous êtes redirigé vers une page Google affichant l'adresse email de la personne et son refus. En bricolant simplement l'URL de cette page, il a réussi à faire apparaitre d'autres adresses d'utilisateur du service et même des comptes pro ou encore les adresses de certains employés du géant du Web. Après un petit bricolage et l'utilisation de DirBuster un gentil petit logiciel qui hack de façon assez brutale (oui, ça s'appelle "Brute-Force" cette procédure) en spammant des requêtes, il a réussi à récupérer un bon millier d'adresses en seulement quelques heures.

Google a de la chance, Oren fait ça par passion et aussi un poil pour la thune, mais quelqu'un de mal intentionné n'aurait eu aucun mal à revendre des listings d'email à des boîtes qui s'en seraient servies à des fins commerciales (oui, du spam quoi) ce qui aurait pu lui rapporter beaucoup plus gros. Merci Oren de ne pas être vénal et d'agir dans l'ombre pour protéger les utilisateurs ! (Source : Wired)