Google heeft een beveiligingslek in de accountherstel-optie voor Google-accounts verholpen waardoor een aanvaller in combinatie met social engineering accounts kon overnemen. Google biedt gebruikers die hun wachtwoord vergeten zijn de mogelijkheid om het account te herstellen.

Hiervoor moet de gebruiker verschillende vragen beantwoorden. De laatste stap in dit proces waarbij de gebruiker daadwerkelijk het wachtwoord kan resetten bevatte een Cross-Site Scripting-kwetsbaarheid, zo ontdekte onderzoeker Oren Hafif. Daardoor zou een aanvaller een e-mail naar een Google-gebruiker kunnen sturen waarin wordt gevraagd om het account te bevestigen.

De link in de pagina wijst naar een pagina van de aanvaller die de gebruiker vervolgens naar de wachtwoord-resetpagina van Google doorstuurt. Als de gebruiker vervolgens op de resetknop klikt en zijn wachtwoord invult kan de aanvaller het account overnemen.

Google

Volgens Hafif zijn kwetsbaarheden in de accountherstel-optie van e-mailaccounts zeer ernstig, omdat het de mogelijkheid biedt een account over te nemen waarmee het vervolgens mogelijk is om de wachtwoorden van allerlei andere accounts te resetten. Nadat de onderzoeker Google had ingelicht werd het probleem binnen tien dagen verholpen en kreeg hij als beloning voor het melden een bedrag van 5100 dollar.