據(jù)《連線》網(wǎng)站6月11日報道，網(wǎng)絡安全研究員Oren Hafif分析，只要對網(wǎng)頁鏈接做一些調(diào)整并且有耐心，任何人都可以收集Gmail全球用戶的郵箱地址。

Oren Hafif說他幫助谷歌公司的Gmail發(fā)現(xiàn)并修復了一個漏洞，通過這個漏洞，黑客在數(shù)日或數(shù)周內(nèi)即可獲取大量Gmail郵箱賬戶。該漏洞不會暴露密碼，但是用戶會收到垃圾郵件，網(wǎng)絡釣魚或者密碼破譯的攻擊。這個漏洞可能存在很久了。

該漏洞與Gmail鮮為人知的一個賬戶分享特點有關，即Gmail允許“委托”其他用戶登錄自己的賬戶。去年11月， Hafif發(fā)現(xiàn)當用戶拒絕關聯(lián)其他賬戶時網(wǎng)頁的URL會改變。在網(wǎng)址上做一點改動后，頁面顯示他無法關聯(lián)到另一郵箱地址。通過DirBuster軟件自動修改網(wǎng)頁地址，Hafif用兩個小時便收集了37000個Gmail地址。

來自以色列安全公司Trustwave的Hafif說：“如果我不停地這么做（修改字符），我可以肯定，我能收集全所有的Gmail地址。”

Hafif補充說，這次泄露事件影響的不只是Gmail個人用戶。黑客可以利用漏洞收集所有用谷歌賬號注冊郵箱的用戶地址，包括谷歌內(nèi)部員工。

當谷歌的反刷機防火墻阻止Hafif的侵入時，他迅速改變了URL的某些部分繼續(xù)抽取大量郵箱地址。Hafif說由于谷歌不需要輸入驗證碼和其他驗證就可以看到重要內(nèi)容，一個有耐心的郵箱地址收集者可以用匿名軟件工具或者其他隱藏IP方法在不被發(fā)現(xiàn)的情況下收集郵箱地址。“這些未經(jīng)驗證的脆弱點可以被利用，” Hafif說。

在Hafif發(fā)現(xiàn)漏洞后，谷歌花了一個月的時間修復此漏洞。最初谷歌公司拒絕給Hafif漏洞項目獎金，這個獎金是為了獎勵發(fā)現(xiàn)并協(xié)助谷歌修復安全漏洞的黑客。后來谷歌改變了態(tài)度給了他500美元，這與谷歌為了發(fā)現(xiàn)高危脆弱點而花費的數(shù)以萬計的美元相比真的是小數(shù)目。

一位谷歌發(fā)言人證實，公司已修補了Hafif發(fā)現(xiàn)的郵件泄密漏洞并支付他相應的報酬，但是他拒絕就該事件做進一步評論。

Hafif星期二在博客里透露了漏洞的存在。他說他也不知道這個漏洞存在了多久或者它是否被發(fā)現(xiàn)過。谷歌對Gmail的代理權限從2010年末就開始實行，這個漏洞可能已經(jīng)存在數(shù)年了。

這位27歲的研究員說他對谷歌對幫助修復高危漏洞的人的平淡態(tài)度有些失望，正如他在博客里寫的：“試想一下垃圾郵件制造商或者其他國家（例如中國？）會用多少錢來購買寫有所有谷歌賬戶的名單？”

有人已經(jīng)得到這份名單了嗎？“這個問題很難回答，” Hafif說。“我們也不知道。”