Уязвимость в Google Drive позволяет раскрыть личность пользователя

В “облачном” хранилище данных Google Drive обнаружена опасная уязвимость, позволяющая деанонимизировать пользователей.

Уязвимость позволяет раскрывать и отображать полные имена пользователей учётных записей, «привязанных» к почтовым сервисам Gmail, Yahoo!, Hotmail и другим. В Сети уже опубликован исходный код эксплоита для этой бреши.

Пользователи требуют от Google немедленно исправить уязвимость, прежде чем все, кто хранит свои данные в “облачном” сервисе, не начали раскрывать данные друг друга.

Кроме того, уязвимостью могут воспользоваться спамеры, чтобы собирать имена и электронные адреса для последующих таргетированных кампаний.

Ранее «белый хакер» обнаружил в Google Drive ошибку, которая позволяет атакующему компьютер хакеру определить, есть ли у пользователя доступ к конкретному документу Google Drive. Иными словами, уязвимость позволяет распознать одного человека среди всех анонимных посетителей.

Атака осуществляется просто: на Google Drive публикуется любой документ с доступом для просмотра пользователю с известным адресом электронной почты.

При этом следует убрать галочку с пункта рассылки уведомлений на указанные электронные адреса. Тогда Google отказалась выплачивать за неё награду, так что уязвимость выложили в Сеть.