Gmail’de tespit edilen yeni bir açık, tüm Gmail kullanıcılarının e-posta adreslerini savunmasız bırakıyor. Güvenlik uzmanı Oren Hafif‘in bulduğu ve Google’ın tamir etmesine destek olduğu bu kritik hata, ortaya çıkarılmadan önce yıllarca kontrolsüz haldeydi. Bu nedenle biraz sabır ve yazılım bilgisi olan kötü niyetli kullanıcılar şimdiye kadar çoktan tüm Gmail külliyatını hatmetmiş olabilir.

Wired haberine göre bahsi geçen hata herhangi bir kullanıcının parolasını veya diğer hassas bilgilerini görüntülemiyor. Bunun yerine, sahip olunan Gmail e-posta adresleri ortaya dökülüyor. Hatanın kaynağı ise Gmail’in başka bir kullanıcıya hesaba erişim yetkisi verme özellğiyle ilgili.

Pek bilinmeyen bu özellik sayesinde Gmail kullanıcıları, başka birilerine kendi hesaplarına giriş yapabilmeleri için yetki verebiliyor. Güvenlik uzmanı Oren Hafif ise şunu keşfetmiş: Bir kullanıcının diğer bir hesaba erişim yetkisi reddedildiğinde, bu web sayfasının URL’si üzerinde oynama yapılabiliyor.

İyi niyetin suistimali

Olumsuz yanıt görüntüleyen sayfada bir karakter değiştirildiğinde, başka bir Gmail adresine erişimin reddedildiği uyarısı çıkıyor. Bu karakter değiştirme işlemini DirBuster adlı bir yazılım ile otomasyona alan Hafif, iki saat kadar sürede 37 bin Gmail adresini tespit etmeyi başarmış.

Elbette mail adresleri tek başlarına sıradan kullanıcılar için çok fazla anlam taşımıyor. Ancak reklam ve pazarlama sektöründe bu açığa büyük ilgi duyulacağı kesin. Gmail‘deki tüm kullanıcıların e-posta adreslerini çıkarmak ise uzmana göre günler veya haftalar mertebesinde gerçekleştirilebilirdi. Neyse ki o açık kapatıldı ve kullanıcılar rahat bir nefes aldı.

:: Gmail’de henüz bilmediğimiz başka güvenlik açıkları da var mıdır sizce?