03-11-2005 (Actualizado del 21-10-2005)
Grave vulnerabilidad en Gmail permite acceder a cualquier cuenta.


Hace un par de dias ANELKAOS encontró un fallo en el servicio de correo Gmail de Google que permite acceder a cualquier cuenta de de correo sin conocer la contraseña del usuario, y sin necesidad de que el usuario/víctima intervenga, es decir, sin que haya que robar las cookies, ni interceptar el tráfico de red ni nada por el estilo.Click para agrandar
La noticia fue publicada originalmente por ANELKAOS en el foro del elhacker.net , aunque sin revelar detalles que permitieran un abuso de dicha vulnerabilidad, debido a la gravedad del fallo el hilo del foro fué retirado, a la espera de que Google, que ya ha sido informado, solucione el fallo.
De todos modos este es el pantallazo que ANELKAOS publicó en el foro tras el descubrimiento del fallo:
La gente de Seguridad0 se ha hecho eco del fallo, aunque desconozco si lo han testeado.
Por mi parte no lo he testeado, veremos como acaba esto
Gracias a todos los que han mandado el aviso, y a los propios colaboradores del foro de elhacker.net por acceder a la publicación de la noticia.

Actualizado el 03-11-2005

Aunque esta vulnerabilidad fue corregida 4 dias después de descubrirse, Google no ha hecho ningún comunicado al respecto, lo cual no es del todo honrado por su parte, porque aunque Gmail continue en versión beta, "de bien nacido es ser agradecido" y debería haber hecho al menos una reseña para agradecer el buen trabajo (y la honradez)de ANELKAOS, puesto que ha ayudado considerablemente a la seguridad de Gmail y de todos sus usuarios.
Es evidente que en Google, como en cualquier otra empresa, la buena imagen prima sobre otras cuestiones.
Los chicos de elhacker.net han publicado todos los detalles de esta vulnerabilidad, sin duda resulta una lectura interesantísima para todos los que estamos interesados en estos temas.
Link: http://www.elhacker.net/gmailbug/


Ref: http://cyruxnet.org/archivo.php?20051021.00