В Gmail найдена уязвимость

Александр Панасенко 12 Мая 2008 - 18:05

...

Специалисты из компании Information Security Research Team (InSeRT) сообщили об обнаружении в почтовой системе Gmail уязвимости, которая превращает серверы, обслуживающие email-трафик, в рассыльщиков спама.

Обнаруженная брешь позволяет реализовать классическую атаку типа man-in-the-middle, которая предоставляет потенциальному спамеру возможность рассылать тысячи электронных сообщений через SMTP-серверы Google без риска быть обнаруженным.

"Данный метод позволяет обходить как систему обнаружения мошенничества, так и существующий лимит на 500 адресов в случае множественной отправки писем. В теории уязвимость позволяет рассылать сколь угодно много писем", - говорят в InSeRT.

Как пояснили в компании, уязвимость кроется в возможности атакующего обходить белые/черные списки почтовых фильтров, отправляя сообщения SMTP-серверам напрямую. На сегодня система почтовой ретрасляции Google работает открыто, но для того, чтобы пропустить сообщения через нее, необходимо, чтобы оно (сообщение) прошло систему верификации.

"Тестовый эксплоит позволил нам разослать за раз с одного аккаунта до 4000 почтовых сообщений, что в 8 раз больше официального лимита", - говорят исследователи.

Дополнительная опасность, связанная с компрометацией системы Gmail, кроется и для пользователей других почтовых систем, например Hotmail или Yahoo Mail, так как антиспамовые фильтры, работающие на уровне ip-адресов, в этих системах имеют доверительные отношения с почтовиками Google.

"Во время эксперимента мы попробовали осуществить массовую рассылку нескольких тысяч сообщений с пробного компьютера, который был занесен в черный список Yahoo и Hotmail. Данная операция не увенчалась успехом. Тот же трюк был проделан и через SMTP-серверы Google, в данном случае MX-серверы Yahoo и Hotmail оказались открытыми", - рассказывают в InSeRT.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 29 Октября 2025 - 18:49

GenAI (генеративный искусственный интеллект)Соответствие законодательству РФ Общее

Минэк России беспокоит несовершенство регулирования работы с ИИ

Выступая на проходящем в Москве форуме ЦИФРАПРАВА, директор департамента цифрового развития и экономики данных Минэкономразвития РФ Владимир Волошин поднял вопрос о проблемах внедрения и коммерческого использования ИИ.

Внедрение ИИ в повседневные сервисы, по словам спикера, не всегда оправданно и может создать дополнительные сложности для пользователей.

«Звонишь в клинику и минут десять пытаешься доказать, что ты человек и что тебе нужен человек», — цитирует РБК выступление представителя министерства.

В качестве примера Волошин также привел инцидент с беспилотным авто в Санкт-Петербурге, спровоцировавшим легкое ДТП: его разбор потребовал созыва специальной комиссии. К слову, похожий случай недавно произошел в Калифорнии — полицейские не смогли выписать тикет за нарушение ПДД, так как в машине не оказалось водителя.

Проблема, способная затормозить развитие ИИ-технологий в стране, требует корректировок на законодательном уровне, считает докладчик. Из-за несовершенства регулирования сферы ИИ российские бизнесмены почти не используют большие языковые модели, опасаясь возможной кары за нарушение требований ИБ.

Для исправления ситуации представитель Минэка предложил создать экспериментальные правовые режимы, позволяющие бизнес-структурам апробировать методы обезличивания данных и работать с большими моделями в безопасной регуляторной среде.

Минпромторг тоже выступает за совершенствование регулирования сферы ИИ и даже разработал проект универсального законодательного акта. А в Госдуме создали межфракционную рабочую группу для выработки принципов регулирования ИИ, предложений по отраслевому применению таких технологий и по противодействию злоупотреблениям ИИ.