Sayembara untuk para peneliti yang bisa mencari celah dari webmail programming
Celah password Gmail terbuka lebar bagi pembajak licik untuk mencari celah dari akun tersebut setelah Google memastikan high impact pada bug keamanan dalam sistem reset password.
Celah tersebut, ditemukan oleh peneliti keamanan Oren Hafif, yang telah memanfaatkan dengan mengirimkan email palsu yang mengingatkan pengguna Gmail bahwa sudah waktunya untuk me-reset password mereka. Dengan mengklik link yang dikirimkan, pengguna akan dibawa ke situs yang menyamar sebagai halaman Google dan meminta pengguna untuk mengganti dengan password baru. Situs tersebut berada dibawah kontrol hacker yang dimulai dengan serangan pemalsuan dari cross-site request melalui XSS merupakan jebakan Google agar korban menyerahkan login cookie nya.
“Saya ingin Anda jujur dan menyetujui bahwa jika Google mengatakan ‘Anda telah mengkonfirmasi kepemilikan’ dari akun Google Anda, dan meminta Anda untuk mengganti password baru, apakah Anda tidak akan melakukannya? Setidaknya Anda akan melakukan hal tersebut!” Hafif mengatakan dalam sebuah postingan blog tentang serangan itu.
Situs palsu dapat mengalihkan pengguna ke halaman situs Google yang aman, tetapi pada titik ini, penyerang akan menyimpan username, password baru dan login cookie untuk setiap akunnya. Setelah masuk, mereka juga akan mendapatkan kebebasan untuk mengubah password pada layanan yang berkaitan dengan alamat email Gmail.
Hafif mengatakan ia memperingatkan Google mengenai masalah ini dan Chocolate Factory memastikan dalam kurun waktu 10 hari ia akan menerima pembayaran berdasarkan program hadiah bug, meskipun Google tidak mengatakan berapa banyak yang akan diberikan kepadanya.
Hafif, yang akan mendapatkan hadiah atas laporannya mengenai celah tersebut, juga telah meng-upload video, lihat di atas, memperlihatkan bagaimana serangan itu terjadi, didukung oleh beberapa Euro happy house (Yang tidak dapat dijatuhkan oleh Nicco dan Bastian Bates, ahem) yang Anda akan meraih glowsticks, laser hijau dan gurning untuk mendapatkan simpati.
Sumber
Celah password Gmail terbuka lebar bagi pembajak licik untuk mencari celah dari akun tersebut setelah Google memastikan high impact pada bug keamanan dalam sistem reset password.
Celah tersebut, ditemukan oleh peneliti keamanan Oren Hafif, yang telah memanfaatkan dengan mengirimkan email palsu yang mengingatkan pengguna Gmail bahwa sudah waktunya untuk me-reset password mereka. Dengan mengklik link yang dikirimkan, pengguna akan dibawa ke situs yang menyamar sebagai halaman Google dan meminta pengguna untuk mengganti dengan password baru. Situs tersebut berada dibawah kontrol hacker yang dimulai dengan serangan pemalsuan dari cross-site request melalui XSS merupakan jebakan Google agar korban menyerahkan login cookie nya.
“Saya ingin Anda jujur dan menyetujui bahwa jika Google mengatakan ‘Anda telah mengkonfirmasi kepemilikan’ dari akun Google Anda, dan meminta Anda untuk mengganti password baru, apakah Anda tidak akan melakukannya? Setidaknya Anda akan melakukan hal tersebut!” Hafif mengatakan dalam sebuah postingan blog tentang serangan itu.
Situs palsu dapat mengalihkan pengguna ke halaman situs Google yang aman, tetapi pada titik ini, penyerang akan menyimpan username, password baru dan login cookie untuk setiap akunnya. Setelah masuk, mereka juga akan mendapatkan kebebasan untuk mengubah password pada layanan yang berkaitan dengan alamat email Gmail.
Hafif mengatakan ia memperingatkan Google mengenai masalah ini dan Chocolate Factory memastikan dalam kurun waktu 10 hari ia akan menerima pembayaran berdasarkan program hadiah bug, meskipun Google tidak mengatakan berapa banyak yang akan diberikan kepadanya.
Hafif, yang akan mendapatkan hadiah atas laporannya mengenai celah tersebut, juga telah meng-upload video, lihat di atas, memperlihatkan bagaimana serangan itu terjadi, didukung oleh beberapa Euro happy house (Yang tidak dapat dijatuhkan oleh Nicco dan Bastian Bates, ahem) yang Anda akan meraih glowsticks, laser hijau dan gurning untuk mendapatkan simpati.
Sumber