Уязвимость в службах Google открыла путь для рассылки писем от лица компании

Николай Головко 22 Ноября 2010 - 13:30

...

Хакер из Армении обнаружил в Google Apps серьезную ошибку безопасности, эксплуатация которой позволяла извлекать электронные адреса пользователей и отсылать им чрезвычайно правдоподобные уведомления от имени административной группы.

Для демонстрации специалист создал особую страницу в сервисе Blogspot. Любому авторизованному владельцу учетной записи Google достаточно было лишь посетить эту страницу - на его адрес в Gmail незамедлительно поступало письмо, практически неотличимое по своим техническим параметрам от легитимных сообщений компании.

Ведущий технологический консультант Sophos Грэм Клалей, комментируя инцидент в корпоративном блоге, отметил, что поддельные письма, отправленные посредством эксплуатации этой уязвимости, отличаются от обычных фишинговых отправлений: в них не просто указан аутентичный адрес отправителя (noreply@google.com), но и имеются вполне легитимные заголовки. Даже если пользователь усомнится и решит проверить параметры сообщения, то он обнаружит, что письмо отправлено с сервера maestro.bounces.google.com, и у него имеется подпись google.com - иными словами, уведомление будет выглядеть весьма убедительно.

Технические особенности выявленного изъяна и прочую подробную информацию хакер публиковать не стал. В письме редакции Интернет-ресурса TechCrunch он заявил, что не хочет предавать такие сведения огласке. По его словам, он пытался сообщить о проблеме непосредственно в Google, но компания никак не отреагировала на его обращение; это несколько странно, поскольку поисковый гигант некоторое время назад объявил о готовности выплачивать вознаграждения за поиск уязвимостей в своих онлайн-сервисах.

Впрочем, теперь Google подтвердила наличие ошибки безопасности в интерфейсе Google Apps Script API и заявила, что в настоящее время она уже устранена.

"Уязвимость в Google Apps Script API, позволявшая автоматически отсылать письма авторизованным пользователям Gmail без их на то разрешения, в случае, если они посещали определенным образом сформированную веб-страницу, была оперативно исправлена", - говорится в официальном заявлении компании. - "Сайт, демонстрировавший данную уязвимость, был нами немедленно удален, а спустя непродолжительное время мы отключили и сам опасный функционал. В случае обнаружения новых потенциальных проблем безопасности просим сообщать об этом на почтовый адрес security@google.com".

Softpedia

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 08 Апреля 2026 - 11:52

Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники начали продавать россиянам космос — от билетов до лунного грунта

В преддверии Дня космонавтики резко активизировались мошенники, предлагающие билеты на экскурсии по объектам, связанным с освоением космоса, — например, на космодромы или в Центр управления полётами. Кроме того, они активно продают якобы метеориты, детали космических кораблей и онлайн-курсы по подготовке космонавтов и астронавтов.

О схемах, которые эксплуатируют повышенный интерес к космической теме перед 12 апреля, рассказал РИА Новости член Союза юристов-блогеров на базе МГЮА имени Кутафина при Ассоциации юристов России Иван Курбаков.

Как отметил юрист, для продажи экскурсий на различные объекты — например, космодромы или в Центр управления полётами — злоумышленники используют фальшивые сайты. Через них они предлагают билеты на несуществующие или недоступные мероприятия.

Эту схему мошенники используют уже давно. Чаще всего она встречается в инвестиционном мошенничестве, но нередко применяется и для продажи различных товаров, особенно перед праздниками, а также при аренде недвижимости и бронировании отелей. Помимо прямой кражи денег, злоумышленники нередко собирают персональные и платёжные данные пользователей.

По словам Ивана Курбакова, ещё одна популярная схема связана с продажей метеоритов, лунного грунта и фрагментов космических аппаратов. Некоторые такие «товары» даже сопровождаются «сертификатами» якобы от имени научных учреждений, однако на деле эти документы изготовлены мошенниками. В результате покупатель получает подделку — обычный кусок металла или земной минерал.

Заметное место, как предупреждает юрист, занимают и фальшивые образовательные программы. В частности, мошенники продают онлайн-курсы «подготовки космонавтов» с выдачей поддельных дипломов. Также встречаются случаи продажи платного участия в якобы научных конференциях на космическую тематику.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!