Security lek gevonden in Google's Gmail...

[gezina]

Security lek gevonden in Google's Gmail

Volgens het Israelische Nana Net Life magazine is er een kritiek security lek in Google's Gmail gevonden, waardoor een aanvaller, zonder wachtwoord, toegang tot een Gmail account kan krijgen. Zo is te lezen op security.nl "Alles kan onthuld worden, je ontvangen e-mails, je verzonden e-mails en iemand kan onder jouw naam berichten versturen en ophalen," zo liet een van de Israelische hackers, die het lek ontdekt hadden, weten. Volgens de hacker is het zorgwekkend dat de hack zelf erg eenvoudig is. Het enige dat een aanvaller, naast kennis van de techniek, moet kennen is de gebruikersnaam van het slachtoffer. Is dat bekend dan is hij binnen. Vanwege de serieuze consequenties wilden de hackers niet al teveel details prijsgeven, maar ze lieten wel weten dat het te maken had met de identiteits authenticatie. Hierdoor zou een hacker het cookie van een slachtoffer kunnen stelen en zich als het slachtoffer voordoen, zo gaat dit artikel verder.

 

[gezina]

Google dicht groot veiligheidsgat in Gmail

Zaterdag, 30 oktober 2004 - webwereld.nl Met een kinderlijk eenvoudige truc konden kwaadwillenden complete toegang krijgen tot de mailboxen van Gmail-gebruikers.

Inmiddels kunnen gebruikers van Google's maildienst Gmail weer gerust ademhalen, zo verzekert een woordvoerder van Google desgevraagd. Hij reageert hiermee op berichten in de Israëlische publicatie NetLife Magazine waarin eerder deze week werd geschreven dat de maildienst lek is.

De hacker Nir Goldshlagger doet hierin uit de doeken hoe Gmail met een 'behoorlijk simpele' hack om de tuin kan worden geleid. Door een onvolkomenheid in de inlogmodule kunnen kwaadwillenden zich toegang verschaffen in de mailboxen van gebruikers, aldus de hackers.

Link
Dit gebeurt door een op het eerste gezicht onschuldige link aan te brengen naar de Gmail-site. Hackers waren hiermee in staat om het cookie van het slachtoffer te stelen. Hierna kon de hacker zichzelf bij de maildienst identificeren als het slachtoffer, zonder ook een wachtwoord te hoeven invullen.

Google-zegsman Nathan Tyler wil in een reactie niet op de details ingaan, maar erkent dat er een lek was waarmee aanvallers complete controle over een gebruikersaccount kon krijgen. Google heeft inmiddels het lek gedicht, zo verzekert Tyler.

Gmail werd in april aangekondigd en zorgde vanwege zijn gigantische opslagruimte van 1 GB direct voor een hype. Kritiek was er echter ook van de kant van privacyvoorvechters. Officieel is de dienst nog altijd in bèta. Google geeft geen informatie over het aantal gebruikers van de dienst.

 

[gezina]

Nederlandse hack van Gmail

De Nederlander Peter van Dijk heeft een lek ontdekt in Gmail, de e-mail-dienst van Google. Van Dijk heeft het lek donderdagavond per e-mail gemeld aan Google, waarna het is gedicht en hij tot publicatie is overgegaan op zijn weblog.

Van Dijk maakte via JavaScript gebruik van een klein lek. Via dat lek kon Van Dijk cookies onderscheppen die gebruikt worden voor de tijdelijke toegang van een G-mail-klant tot zijn postbus op de server van Google.

Van Dijk heeft het lek gebruikt om de code te onderscheppen en Gmail met diezelfde cookie te lezen vanaf een andere pc, als ware hij een andere gebruiker. Maar Van Dijk had ook toegang kunnen krijgen tot Gmail-postbussen van derden.

Google liet verder niets meer van zich horen bij Van Dijk, laat staan dat er van het inmiddels vijftig miljard dollar waard zijnde bedrijf een beloninkje af kon.
Verder lezen: planet.nl