Det var den nederste av disse lenkene Oren Hafif kunne utnytte til å finne mengder med Gmail-adresser. (Bilde: Oren Hafif)

Kunne avdekke samtlige Gmail-adresser

Bare ved å endre en nettadresse.

Googles e-posttjeneste, Gmail, har flere hundre millioner brukere. Mange av disse har aldri gitt e-postadressen sin til mer enn noen få utvalgte. Det å få tak i samtlige på en enkel måte ville være som en drøm for enhver spammer, men også for andre med ønsker å gjøre mer skade.

Oren Hafif, som kaller seg selv for sikkerhetsentusiast, avslørte i går at han har funnet en metode som gjorde det mulig for ham å lage en liste over alle e-postadressene i Googles e-posttjeneste. Dette inkluderer ikke bare gmail.com-adresser, men også adresse med domenenavnet til bedriftskunder av Google. Dette skriver Wired.

I Gmail er det mulig for en bruker å gi andre Gmail-brukere tilgang til til brukerens e-post via innstillinger på denne siden. Når man aktiverer dette, sendes det en e-post til den andre brukeren. E-posten inneholder blant annet to lenker som mottakeren kan klikke på for enten godta eller avvise muligheten om å få tilgang til den aktuelle kontoen.

Det er URL-en som benyttes for å avvise forespørselen som Hafif fant interesse for. Når man klikker på denne, kommer man til en side som bekrefter at man har avvist forespørselen. På denne siden er e-postadressen til den aktuelle kontoen oppgitt. Men e-postadressen er ikke en del av URL-en, som kan se omtrent slik ut:

https://mail.google.com/mail/mdd-f560c0c4e1-oren.hafif%40gmail.com-bbD8J0t6P6JNOUO36vY6S_pZJy4

E-postadressen som faktisk er oppgitt i URL-en, er i utgangspunktet adressen til den som har blitt innvilget tilgang. I dette tilfelle Gmail-adressen til Hafif.

Det Hafif fant ut var at det var mulig å få responssiden for avviste forespørsler til å vise andre Gmail-adresser dersom han endret den ti tegn lange heksadesimalkoden i URL-en over.

Ved å bruke et egnet verktøy kunne Hafif raskt sende forespørsler til adresser med alle mulige kombinasjoner av heksadesimalkoden. Det som i utgangspunktet begrenset forsøket, var Googles anti-bot-beskyttelse, som stoppet det hele etter omtrent 30 000 forespørsler. Men også dette greide Hafif å omgå på en enkel måte.

På bakgrunn av informasjonen fra Hafif har Google rettet problemet og gitt Hafif en dusør på 500 dollar. I kommentarene til blogginnlegget forsvarer Hafif selv til en viss grad at størrelsen på dusøren fra Google ikke var større, men ber likevel leserne om å tenke seg hvor mye penger en spammer eller et land ville ha gitt for en slik mulighet.

Ifølge Wired skal Google først ha nektet å utbetale noen dusør i det hele tatt – uvisst av hvilken grunn. Men selskapet skal senere ha skiftet mening.

Til toppen