仅500美元赏金!以色列黑客为Google提交漏洞引争议

以色列“白帽”黑客奥伦•哈菲夫(Oren Hafif)发现Gmail存在严重的安全问题。该问题可能导致所有的5亿个账号被盗用,黑客能够接入用户的邮箱账号和其他基于谷歌认证系统的所有网络服务账号。哈菲夫发现并且记录下这个弱点,成功试验后把它报告给谷歌。谷歌按照其寻找漏洞奖励计划,给予了哈菲夫500美元的奖励。

哈菲夫是Trustwave公司(一家总部位于芝加哥的安全公司)以色列办公室的精英安全小组成员。他向各大小型公司提供咨询服务,在他们的系统中检测安全漏洞,希望能够在其他黑客发现和利用这些漏洞之前找到它们。哈菲夫说:“凭借着在几乎所有行业(包括金融、电信、医疗保健、交通等)超过300多次渗透试验和安全审查中积累的经验和知识,我的目标就是为客户提供更多的安全保障。”

google
google

谷歌很幸运,因为哈菲夫本周刚好在做这项工作,恰好在这时发现了这个被他称为“一个令牌控制一切”的漏洞。Gmail并不像很多人想的一样,只是“谷歌邮箱”的缩写,它代表“全球主要身份认证和识别库” (Global Main Authentication and Identification Library)。哈菲夫在一篇博客文章中说,“该库还被脸书、推特等站点和网上银行广泛使用。一个黑客做梦都想拥有网络用户的Gmail账号,因为这意味着从此以后,能够获得其他所有的账号。”

尽管这个漏洞没有把Gmail的密码暴露给黑客们,但会透露使用谷歌平台的认证地址。这就相当于打赢了获得访问权限整场战役的半场,因为黑客能够在程式里使用这些地址来猜测密码。一旦确定了密码,这个认证信息就能够用于登录所有使用谷歌认证系统的服务。

这个入侵过程包括使用谷歌颁发的安全令牌来生成一系列的Gmail平台地址。令牌是一连串的文本和数字,十分宝贵,哈菲夫称之为“我的宝贵令牌”。他说,只要改变这个令牌的一个字符,他就能够得到37,000个Gmail地址。他还说,如果他想,“他能够在数周或者数天内提取出托管于谷歌的所有邮箱地址。”

应该注意的是,这项服务的许多地址并没有使用@gmail.com作为他们的域名地址。谷歌的商业项目让企业在使用自己的域名的情况下也能够托管在谷歌的服务器上。哈菲夫说,这些也很容易受到攻击。

他说,谷歌的安全问题“现在已经是一个相当热门的话题”,这应该引起使用Gmail平台的企业的注意。“我们应该移向云端吗?我们应该使用Gmail作为我们组织的邮件管理器吗?关于企业邮件未来的争辩重点在安全性方面。泄漏的机构邮件会帮助黑客完成他们的钓鱼式攻击,最后公司面临持续的威胁。”他说,“我宝贵的令牌能够获得这些邮件,尽管你从来没有把自己的邮箱地址告诉任何人。我可以得到所有的个人邮箱地址或者组织域名下的商务邮箱地址。如果你的某些员工或者管理人员的邮箱地址是私密的,那么这就会引发问题。”

和“恶意”黑客做的事情不一样,作为一个“善意”黑客,哈菲夫用自己的力量做好事,侵入目的是为了帮助消除安全威胁。比如说,他向谷歌报告这个漏洞,谷歌就马上行动对其进行了修复。“谷歌安全小组修复了漏洞,并且给予我500美元的奖励。”

很多人对他的博客文章进行评论,他们认为,哈菲夫发现了这个存在多年的重大安全漏洞,谷歌却给予哈菲夫这么少的奖励,他们觉得很惊讶。一个评论者说:“我不敢相信谷歌这么廉价。”这个评论还说谷歌应该给予哈菲夫更多的奖励,因为“如果用户的全部邮件数据库遭到泄露,那么将会造成难以估量的损害,也会严重损害谷歌的声誉。”其他人认为这个奖励“非常滑稽”而且“很丢脸”。

“谢谢大家的赞美。”哈菲夫回应说,他也希望得到更大的奖励,但是他明白为什么谷歌对此保持低调,尽管这次发现的安全漏洞比他们平时发现的还要严重。“他们一定明白这件事情有所不同。但是,没有必要反复解释这样的事情。请永远记得要看到更大的方面。我的意思是,我一直都在观察,但是谁知道以后会发生什么事呢?”

小编注:

国内外公司对于漏洞赏金的水平不一,甚至差距比较大,这是一个值得讨论的问题。FreeBuf在最近阿里巴巴组织的安全会议上发表了议题《漏洞赏金计划的前世今生》,其中谈到了一个案例:

国外白帽子在FreeBuf旗下漏洞盒子(VulBox.COM)提交了一枚国内厂商的漏洞,被国内厂商给予16美元的奖励。由于国内漏洞赏金无法与国外公司相提并论,进而引发该国外白帽子对国内厂商漏洞奖励计划的质疑。

原创文章,作者:老D,如若转载,请注明出处:https://laod.cn/141.html

(0)
上一篇 2014-07-01 21:59
下一篇 2014-07-07 18:54

相关推荐

发表回复

登录后才能评论