Economia

Após deixar falha no Gmail aberta por 4 meses, Google implementa solução em 7 horas

25 de agosto de 2020
4 Min Read

Vulnerabilidade permitia enviar e-mail ‘autêntico’ em nome de outras pessoas, mesmo sem acesso à conta do Gmail. Google foi comunicado sobre falha em abril, mas deixou problema em aberto por 137 dias.
Baz Ratner / Reuters
O Google corrigiu uma falha no Gmail sete horas após uma especialista em segurança revelar publicamente os detalhes técnicos do problema em seu blog.
A mesma especialista, a programadora Allison Husain, havia comunicado a falha ao Google no dia 3 de abril, mas a empresa não tomou nenhuma atitude nos quatro meses seguintes.
O erro não permitia acesso a nenhuma conta do Gmail. Em vez disso, era possível usar uma configuração no G Suite – o serviço de e-mail empresarial do Google – para redirecionar mensagens para outros endereços.
O e-mail redirecionado sairia da infraestrutura do Google com parâmetros de autenticação idênticos aos de uma mensagem legítima.
Dessa forma, hackers poderiam não só enviar e-mails em nome dos funcionários de uma empresa ou instituição que usasse o G Suite, mas também burlar os mecanismos que buscam coibir a falsificação de remetentes.
Embora o e-mail “tradicional” não tenha nenhuma proteção para verificar remetentes, a maioria dos provedores de e-mail hoje adota tecnologias que permitem notificar os destinatários ou até bloquear mensagens que podem ter sido falsificadas.
O método desenvolvido por Husain permitiria enviar e-mails falsos que não seriam identificados por esses recursos de segurança.
Provedores de e-mail podem alertar quando o remetente de uma mensagem parece ter sido forjado. Por meio da falha de encaminhamento descoberta no Gmail, esse mecanismo seria burlado.
Foto: Reprodução
Para explorar a falha, o hacker precisaria configurar uma conta no G Suite. Mas, como o serviço pode ser contratado por qualquer pessoa, esse não seria um grande obstáculo.
Procurado pelo blog, o Google afirmou que não comentaria o assunto.
Por que é possível receber e-mails do seu próprio endereço?
De 30 dias para 7 horas
Husain decidiu avisar ao Google que iria publicar os detalhes da falha no dia 17 de agosto, tendo em vista os 120 dias transcorridos desde o primeiro contato em abril. Dar esse prazo é uma prática comum no setor de segurança.
Segundo Husain, o Google informou que a correção não estaria no ar antes do dia 17 de setembro – um mês após a data prevista para publicação.
A especialista acabou publicando os detalhes do problema no dia 19, dois dias após o previsto. Sete horas após a publicação, o Google implementou uma solução para coibir a exploração do erro.
‘Golpe do e-mail’
Embora a falha descoberta por Husain não fosse capaz de comprometer diretamente as mensagens armazenadas em uma conta do Gmail ou G Suite, golpistas têm explorado serviços de e-mails corporativos para falsificar mensagens com solicitações de pagamentos, convencendo empresas a transferir dinheiro para suas contas.
A fraude, conhecida como “Business Email Compromise” (BEC), foi responsável por prejuízos que somaram US$ 1,7 bilhão em 2019, de acordo com o FBI.
No passado, o próprio Google chegou a ser vítima do golpe – junto de outras empresas de tecnologia, como o Facebook.
Hackers são muitas vezes obrigados a registrar empresas de fachada ou invadir contas de e-mail para enviar mensagens convincentes.
Uma falha que permita enviar e-mails aparentemente legítimos em nome de outra pessoa, sem invadir a conta, poderia facilitar essa etapa do golpe.
Mesmo assim, não há qualquer evidência de que a brecha tenha sido explorada em ataques reais.
Google dá prazo de 90 dias
O Google possui um time de especialistas que encontra brechas em serviços e aplicativos de terceiros. Chamada de “Projeto Zero”, a equipe dá um prazo de 90 dias para que empresas desenvolvam uma solução dos problemas antes de abrir o conteúdo das denúncias.
Portanto, o Google estourou o prazo que ele próprio estipula para outros prestadores de serviço e desenvolvedores de software.
A prática de revelar todos os detalhes de uma vulnerabilidade antes mesmo de ela ser corrigida é chamada de “full disclosure”. Adeptos do “full disclosure” argumentam que é a única maneira de pressionar as empresas a corrigir falhas rapidamente.
A quantidade de falhas reveladas em “full disclosure” tem dado lugar ao chamado “responsible disclosure”, no qual as informações técnicas vêm a público apenas após uma vulnerabilidade ser corrigida.
Os programas de recompensa por falhas (ou “bug bounty”), que pagam os pesquisadores independentes pelas descobertas, proíbem a divulgação antecipada e tem contribuído para o sigilo das denúncias.
Sony anuncia recompensas de até US$ 50 mil para falhas no PlayStation e na PlayStation Network
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

Calendar

maio 2026
S T Q Q S S D
 123
45678910
11121314151617
18192021222324
25262728293031

RSS Meks Blog

  • How Adding Slack Bot Boosted Our Culture of Appreciation 3 de julho de 2024
    Sweet Kudos is a Slack bot that enhances employee recognition, rewards, and celebrations within your team. It empowers team members to express gratitude and appreciation effortlessly by giving virtual Kudos. The post How Adding Slack Bot Boosted Our Culture of Appreciation appeared first on Meks.
    Dusan Milovanovic
  • 10 Best Knowledge Base & Wiki WordPress Themes 2021 15 de setembro de 2021
    Running a successful online business requires an exceptional WordPress knowledge base theme that organizes documentation and helps customers. Customization options, intuitive navigation, unique layouts, and fast responsiveness are just some of the features you need. The following 10 WordPress wiki themes represent the best options for 2021 and beyond. Explore the full range to determine […]
    Dusan Milovanovic
  • How to increase WordPress Memory Limit (quick fixes) 16 de junho de 2021
    Here is a post about how to increase the memory limit in WordPress. Allowed memory size exhausted error message showed up in your WordPress installation? No worries – this is one of the most common errors in WordPress. You can apply an easy fix by increasing the memory limit in your PHP. Table of Contents […]
    Dusan Milovanovic
  • How to use (and why) WordPress sitemap plugin 1 de março de 2021
    Did you know that by knowing how to use the WordPress sitemap plugin you can significantly improve your site’s visibility and traffic? Although it isn’t mandatory to have a sitemap on your site, having one significantly improves the site’s quality, crawlability and indexing. All this is important for better optimization, which is why we wanted […]
    Ivana Cirkovic
  • 22 free and premium podcast software for your show [2021 edition] 18 de janeiro de 2021
    You’re determined to start or improve your podcast but don’t know which podcast software to use to really make it stand out? We’ve got you! #podcasting Top 22 free and premium podcast software for your show #WordPressTips #podcasting The post 22 free and premium podcast software for your show [2021 edition] appeared first on Meks.
    Ivana Cirkovic
  • Digital storytelling with WordPress – an all-in-one guide to make your web stories pop! 23 de novembro de 2020
    Wondering how to improve digital storytelling with WordPress and build more awareness and exposure of your business? Let our guide lead the way. The post Digital storytelling with WordPress – an all-in-one guide to make your web stories pop! appeared first on Meks.
    Ivana Cirkovic
  • How to use WordPress autoposting plugin to improve your visibility and SEO? 10 de setembro de 2020
    Did you know you can use the WordPress autoposting plugin for your content efforts and improve not only your time management but your business and visibility as well? The post How to use WordPress autoposting plugin to improve your visibility and SEO? appeared first on Meks.
    Ivana Cirkovic
  • How to create a personal branding site? Step-by-step DIY guide 15 de agosto de 2020
    Looking for ways and means to create a personal branding site? Well, look no further ’cause we’re giving away all the how-to’s to do it yourselves! The post How to create a personal branding site? Step-by-step DIY guide appeared first on Meks.
    Ivana Cirkovic
  • Top 15 WordPress content plugins and tools to improve your visibility and rankings 16 de julho de 2020
    Let’s take a look at some of the must-have WordPress content plugins and tools to use to improve both your UX and rankings. The post Top 15 WordPress content plugins and tools to improve your visibility and rankings appeared first on Meks.
    Ivana Cirkovic
  • WCEU 2020 recap – key takeaways from the biggest online WordPress conference 9 de junho de 2020
    Missed WCEU 2020 and all the exciting stuff from there? Here are all the key takeaways and main points to remember so, take notes! The post WCEU 2020 recap – key takeaways from the biggest online WordPress conference appeared first on Meks.
    Ivana Cirkovic

Text

Distinctively utilize long-term high-impact total linkage whereas high-payoff experiences. Appropriately communicate 24/365.

Archives

Categorias

[video width="480" height="608" mp4="https://www.vozdebrasilia.com.br/wp-content/uploads/2026/03/WhatsApp-Video-2026-03-19-at-19.06.19-2.mp4"][/video]