Уязвимость в службах Google открыла путь для рассылки писем от лица компании

Уязвимость в службах Google открыла путь для рассылки писем от лица компании

Хакер из Армении обнаружил в Google Apps серьезную ошибку безопасности, эксплуатация которой позволяла извлекать электронные адреса пользователей и отсылать им чрезвычайно правдоподобные уведомления от имени административной группы.



Для демонстрации специалист создал особую страницу в сервисе Blogspot. Любому авторизованному владельцу учетной записи Google достаточно было лишь посетить эту страницу - на его адрес в Gmail незамедлительно поступало письмо, практически неотличимое по своим техническим параметрам от легитимных сообщений компании.


Ведущий технологический консультант Sophos Грэм Клалей, комментируя инцидент в корпоративном блоге, отметил, что поддельные письма, отправленные посредством эксплуатации этой уязвимости, отличаются от обычных фишинговых отправлений: в них не просто указан аутентичный адрес отправителя (noreply@google.com), но и имеются вполне легитимные заголовки. Даже если пользователь усомнится и решит проверить параметры сообщения, то он обнаружит, что письмо отправлено с сервера maestro.bounces.google.com, и у него имеется подпись google.com - иными словами, уведомление будет выглядеть весьма убедительно.


Технические особенности выявленного изъяна и прочую подробную информацию хакер публиковать не стал. В письме редакции Интернет-ресурса TechCrunch он заявил, что не хочет предавать такие сведения огласке. По его словам, он пытался сообщить о проблеме непосредственно в Google, но компания никак не отреагировала на его обращение; это несколько странно, поскольку поисковый гигант некоторое время назад объявил о готовности выплачивать вознаграждения за поиск уязвимостей в своих онлайн-сервисах.


Впрочем, теперь Google подтвердила наличие ошибки безопасности в интерфейсе Google Apps Script API и заявила, что в настоящее время она уже устранена.


"Уязвимость в Google Apps Script API, позволявшая автоматически отсылать письма авторизованным пользователям Gmail без их на то разрешения, в случае, если они посещали определенным образом сформированную веб-страницу, была оперативно исправлена", - говорится в официальном заявлении компании. - "Сайт, демонстрировавший данную уязвимость, был нами немедленно удален, а спустя непродолжительное время мы отключили и сам опасный функционал. В случае обнаружения новых потенциальных проблем безопасности просим сообщать об этом на почтовый адрес security@google.com".


Softpedia

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

VK Workspace заблокировала 421 млн спам- и фишинговых писем за III квартал

В третьем квартале 2025 года корпоративная платформа VK Workspace предотвратила рассылку 421 миллиона спам- и фишинговых писем, направленных на компании. Благодаря этому удалось избежать кражи данных и заражения устройств вредоносными программами.

Как уточнили в компании, основную часть заблокированных сообщений составляли массовые рекламные рассылки, однако среди них было и множество фишинговых писем, имитирующих переписку с реальными организациями — в частности, логистическими компаниями, а также популярными брендами и госуслугами.

«Решения VK Workspace и Почты Mail остановили более 7,6 миллиарда спам-сообщений в третьем квартале 2025 года, направленных как на бизнес, так и на пользователей. Поэтому использование почты с продвинутой защитой от спама и фишинга становится особенно важным», — рассказал директор по информационной безопасности VK Tech Анатолий Тутынин.

По его словам, защита от фишинга и вредоносных писем в VK Workspace основана на машинном обучении и репутационных системах, которые анализируют домены отправителей. Кроме того, используется оптическое распознавание символов (OCR) — оно помогает выявлять спам, замаскированный под изображения.

В компании отмечают, что благодаря такому подходу система точнее определяет потенциальные угрозы и снижает риск того, что вредоносные письма дойдут до сотрудников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru