La base de esta vulnerabilidad se encontraba (ya ha sido resuelta) en la relación que existía entre una cuenta principal y otras a las que se reenviaban los mensajes. Con solo unos pocos pasos, era posible realizar el secuestro de una cuenta, obligando a que los sistemas enviasen el código de verificación de la misma.
Seguridad en Gmail
Obviamente, para llevar a cabo el ataque el ciberdelincuentes debería conocer en primer lugar cuál es la cuenta secundaria que está asociada a la principal. Sin embargo, no será a la secundaria a la que se enviará este código, sino a una elegida por los propios atacantes. El estudiante ofreció a Google una gran cantidad de información, destacando las condiciones en las que es posible llevar a cabo el ataque contra las cuentas del servicio Gmail:
- Si la función SMTP del correo electrónico está desactivada.
- Si el destinatario ha desactivado su correo.
- Si la cuenta de destino no existe.
- Si la cuenta existe pero ha sido bloqueada por otro usuario
En todos estos casos mencionados se está refiriendo a la cuenta de destino, es decir, a la que se enviaría el mensaje de recuperación del acceso de la cuenta principal.
Gmail y el problema con el envío de la verificación
En el siguiente interesantisimo vídeo, se pueden ver más detalles sobre el modo de operación:
El problema ha quedado resuelto
Obviamente, en este tipo de casos se acostumbra a dar un periodo de gracia para que la empresa pueda resolver el problema. Y así ha sido. El estudiante notificó a Google el problema el pasado lunes y el viernes ya habían encontrado una solución para que la información de las cuentas de correo electrónico no se reenvíe de forma descontrolada.
Fuente | betanews