Эксперт обнаружил новый способ взлома аккаунтов Google — через скрипты
Злоумышленники могут создать в Google Apps скрипты, способные совершать нежелательные действия с учетными записями пользователей сервисов Google — получить доступ к почтовому ящику Gmail, стереть все письма, украсть персональные данные и др., сообщает The Register.
Ссылка на такой скрипт может быть размещена на script.google.com, где она будет выглядеть совершенно безобидно, и даже опытные пользователи не поймут, что это не полезный инструмент, а опасный код, сказал специалист по инфобезопасности компании Mavenlink Эндрю Кантино (Andrew Cantino).
Кантино добавил, что он поставил Google в известность о своем «открытии», но в компании не считают это прорехой в системе безопасности и пока не предприняли никаких шагов по ее устранению.
С точки зрения Кантино, Google должна хотя бы проинформировать пользователей об опасности и добавить ко всем чужим скриптам предупреждение о том, что скрипт не является продуктом Google, которое показывалось бы людям при попытке скачивания кода.
Скрипты Google Apps появились в 2009 году. С их помощью можно создавать события в Google Calendar, изменять данные в таблицах, отправлять письма по заданным адресам и шаблонам. Например, это может быть персонализированная рассылка со вставкой личного имени и фамилии адресата в каждое письмо.
С помощью обнаруженного метода компрометации аккаунтов Google можно без труда взломать большое количество учетных записей. Напомним, что, как сообщал D-Russia.ru, в открытом доступе оказались данные о 4,93 миллиона почтовых ящиков Gmail. За сутки до этого в Интернет были выложены базы данных пользователей сначала «Яндекса», а затем — Mail.Ru. Обе компании заявили, что утечка данных — не результат единовременного взлома системы, а итог планомерной работы над индивидуальными аккаунтами. Пароли получены злоумышленниками, предположительно, с помощью фишинга или взлома путем перебора (не слишком надежных) паролей. К тому же, большая часть аккаунтов из списков — боты или заброшенные адреса.
Чтобы узнать, нет ли вашего адреса в базе скомпрометированных адресов, скачайте соответствующий файл: «Яндекс» (9818 кБ) — Mail.Ru (29996 кБ) — Gmail (29403 кБ) >>