В “облачном” хранилище данных Google Drive обнаружена опасная уязвимость, позволяющая деанонимизировать пользователей.
Уязвимость позволяет раскрывать и отображать полные имена пользователей учётных записей, «привязанных» к почтовым сервисам Gmail, Yahoo!, Hotmail и другим. В Сети уже опубликован исходный код эксплоита для этой бреши.
Пользователи требуют от Google немедленно исправить уязвимость, прежде чем все, кто хранит свои данные в “облачном” сервисе, не начали раскрывать данные друг друга.
Кроме того, уязвимостью могут воспользоваться спамеры, чтобы собирать имена и электронные адреса для последующих таргетированных кампаний.
Ранее «белый хакер» обнаружил в Google Drive ошибку, которая позволяет атакующему компьютер хакеру определить, есть ли у пользователя доступ к конкретному документу Google Drive. Иными словами, уязвимость позволяет распознать одного человека среди всех анонимных посетителей.
Атака осуществляется просто: на Google Drive публикуется любой документ с доступом для просмотра пользователю с известным адресом электронной почты.
При этом следует убрать галочку с пункта рассылки уведомлений на указанные электронные адреса. Тогда Google отказалась выплачивать за неё награду, так что уязвимость выложили в Сеть.