Nieuws
image

Security lek gevonden in Google's Gmail

vrijdag 29 oktober 2004, 16:01 door Redactie, 9 reacties

Volgens het Israelische Nana Net Life magazine is er een kritiek security lek in Google's Gmail gevonden, waardoor een aanvaller, zonder wachtwoord, toegang tot een Gmail account kan krijgen. "Alles kan onthuld worden, je ontvangen e-mails, je verzonden e-mails en iemand kan onder jouw naam berichten versturen en ophalen," zo liet een van de Israelische hackers, die het lek ontdekt hadden, weten. Volgens de hacker is het zorgwekkend dat de hack zelf erg eenvoudig is. Het enige dat een aanvaller, naast kennis van de techniek, moet kennen is de gebruikersnaam van het slachtoffer. Is dat bekend dan is hij binnen. Vanwege de serieuze consequenties wilden de hackers niet al teveel details prijsgeven, maar ze lieten wel weten dat het te maken had met de identiteits authenticatie. Hierdoor zou een hacker het cookie van een slachtoffer kunnen stelen en zich als het slachtoffer voordoen, zo gaat dit artikel verder.

Reacties (9)
29-10-2004, 16:56 door Anoniem
Als je inlogt bij gmail krijg je iets als:
https://www.google.com/accounts/CheckCookie?continue=http%3A%2F%2Fgmail.google.com%2Fgmail%3F_sgh%3D10e0aa8a6a3ca4454d0c682ade412345&service=mail&chtml=LoginDoneHtml

Misschien zit de fout in het "forgot password" dingetje
29-10-2004, 17:40 door [Account Verwijderd]
[Verwijderd]
29-10-2004, 18:58 door raboof
Klinkt erg als XSS inderdaad. Misschien is het mogelijk een
mail te sturen waarin een stukje javascript staat dat het
cookie uitleest en vervolgens naar een hacker doorspeelt?

Overigens kan het natuurlijk ook gewoon een hoax zijn :).

Meer info: http://net.nana.co.il/Article/?ArticleID=155025&sid=10
29-10-2004, 21:14 door G-Force
Nou moet ik lachen hoor! Beste Google, hou je in het vervolg gewoon
bij je (gesencureerde) zoekmachine. Laat beveiliging toch over aan
een vakman!
30-10-2004, 10:51 door [Account Verwijderd]
[Verwijderd]
31-10-2004, 14:25 door Anoniem
duh het is een beta versie
31-10-2004, 16:31 door Anoniem
Door P.G.Verhoeven
Nou moet ik lachen hoor! Beste Google, hou je in het vervolg
gewoon
bij je (gesencureerde) zoekmachine. Laat beveiliging toch
over aan
een vakman!

Mjah, ik ben zeer blij met m'n gmail account, jij hoeft het
niet te gebruiken. Bovendien is het BETA en hotmail heeft
ook niet bepaald een glanzende historie qua security.

Dit klinkt heel erg als XSS ja... maar ik vraag me af waarom
ze het dan zo uiterst eenvoudig noemen, misschien is het nog
een veel directere manier.
31-10-2004, 21:31 door Anoniem
Gmail is idd nog Bèta, maar een Cross Site Scripting lek als
deze is moeilijk te vergeven. Iedereen weet dat je standaard
een Cookie Lock Module moet gebruiken voor een web app als
deze...
01-11-2004, 21:17 door raboof
Gmail is idd nog Bèta, maar een Cross Site Scripting
lek als
deze is moeilijk te vergeven. Iedereen weet dat je standaard
een Cookie Lock Module moet gebruiken voor een web app als
deze...

Hee Sijmen :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure