اكتشف الباحث الأمني Oren Hafif ثغرة أمنية خطيرة في نظام إعادة تعيين كلمة المرور في حسابات قوقل تسمح للقراصنة بإختراق الحسابات بسهولة عبر صفحة و روابط ملغمة.
و ليثبت الباحث ثغرته قام بإختبارها مصوراً إياها حيث يرسل رسالة إلى بريد الضحية يقول فيها أنه لم يغير كلمة مرور حسابه منذ مدة طويلة، وحتى تتأكد الشركة أنه يملك الحساب يطلب منه في الرسالة الضغط على رابط ملغم.
وبعد الضغط على الرابط يتوجه المستخدم إلى صفحة مشفرة بعنوان رابط يعود إلى موقع قوقل هذا ما يبدو عليه الظاهر، لكن الواقع الفعلي أن الصفحة موجودة على موقع الضحية مع تزوير رابطها أي ما يعرف بـ cross site request forgery و اختصاراً CSRF ولاحظ أنه قبل الإنتقال إلى الصفحة من موقع قوقل يتم الإنتقال على صفحة من موقع وسيط آخر وهنا تتم عملية السرقة, وفي الصفحة يطلب من المستخدم كتابة آخر كلمة مرور يتذكرها وهناك زر للمتابعة، وبعد كتابة كلمة المرور والضغط على زر المتابعة يفاجئ المستخدم برسالة تفيد بأن كلمة مروره و بيانات ملف الكوكيز قد تمت سرقتها.
لكن لا تحاول أن تجرب هذه الثغرة الآن لأن Hafif أخبر مهندسي الأمن في قوقل عنها و قد تم سدها و حصل على مكافأة مالية ضمن برنامج مكافآت الثغرات بقيمة 5100 دولار.
.png "ثغرة أمنية خطيرة في نظام إعادة تعيين كلمة المرور في GMAIL")
في الأخير قامت شركة “جوجل” بإصلاح ثغرة في عملية استرجاع الحسابات وكلمات المرور الخاصة بخدمة البريد الإلكتروني التابعة لها “جيميل”، بعد أن كانت هذه الثغرة تسمح للمهاجم بخداع المستخدم للحصول على تفاصيل بيانات حسابه في الخدمة.
وقد قام باكتشاف هذه الثغرة المخترق الأخلاقي “أورن هفيف“، كما أكد “سبستيان روشكه” مهندس البرميجات لدى “جوجل”، أن هذه الثغرة تصنف ضمن الثغرات “مرتفعة التأثير”.
وقال روشكه ضمن حاسبه في “جوجل بلس”، شبكة التواصل الاجتماعي التابعة لـ “جوجل”، إنهم تلقوا الأسبوع الماضي أكثر من 20 ثغرة تتراوح في شدتها، ومن بينها الثغرة التي نشر هفيف تفاصيلها على مدونته الخاصة.
تجدر الإشارة إلى أن “جوجل” تسعى دائمًا لزيادة مقدار الأمان في استخدام خدماتها، حيث أعلنت بداية حزيران/يونيو الماضي أنها سترفع القيمة المالية للمكافآت التي تقوم بدفعها لمن يقوم بإبلاغ الشركة عن الثغرات الأمنية في خدماتها.
Hello, my name is Jack Sparrow. I'm a 50 year old self-employed Pirate from the Caribbean.