edición general
258 meneos
 

GMail vulnerable al robo de la lista de contactos

Vía www.digg.com me entero de que un blogger ha encontrado la forma de obtener la lista de contactos que el servicio de correo electrónico de Google proporciona. Basta con que hayamos iniciado sesión, para que al visitar un sitio web con unas características concretas, todos nuestros contactos sean "robados". En ésta web (docs.google.com/data/contacts?out=js&show=ALL&psort=Affinity&a) están todos los detalles de esos contactos; y en esta otra (googlified.com.googlepages.com/contactlist.htm) la demo

| etiquetas: gmail , hack , contacto , vulnerabilidad , javascript , seguridad
258 0 1 K 659 mnm
14 comentarios
258 0 1 K 659 mnm
Comentarios destacados:      
  1. picateclas #1 picateclas
    Típico de Microso... OH WAIT! A NIGGA STOLE MY FRIENDS!!
    14 K 92
  2. #2 John_Doe
    La página web de demo ha sido deshabilitada... pero aquí (www-static.cc.gatech.edu/~achille/contacts-source.txt) está el código fuente que permite obtener el listado. Por supuesto... única y exclusivamente con fines educativos, no me seáis malos :-P
    4 K 42
  3. jotape #3 jotape
    ¿Alguien se anima? :-P
    1 K 10
  4. #4 John_Doe
    Otra web de demo: vivekjishtu.googlepages.com/contactlist.html y el código fuente de dicha demo: pastebin.com/848963

    Y de nuevo... no me seáis malos :P. De momento Google no ha solucionado el problema (así que o bien se usa NoScript o bien se sale de la sesión de las aplicaciones de Google y se vacía la cache o bien se bloque el acceso a la web que proporciona la lista de contactos).
    1 K 30
  5. my.self #5 my.self
    ¿Rompe esto el mito del profesionalismo Googleriano? xD
    2 K 18
  6. raharu #6 raharu
    #5 nuse, pero profesional del todo no queda. No estoy muy enterao de Javascript, pero si el codigo para explotar la vulnerabilidad no llega a 10 lineas
    De todos modos, en digg acaba de salir a portada que ya esta solucionado:
    blogs.zdnet.com/Google/?p=434
    3 K 11
  7. raharu #7 raharu
    vale, si leeis los comentarios de digg, no esta solucionado, solo en parte, pero al menos parece que estan en ello : P
    2 K 17
  9. Cyberfrancis #9 Cyberfrancis
    Yo he usado el código a nivel local y sigue fallando.
    0 K 6
  10. oconel #10 oconel
    He probado el código y aunque salían bastantes de mis contactos fallaba al coger mi dirección de GMail.
    1 K 12
  12. #12 Tyrbok
    #5 Que todo el software tiene bugs no es nuevo (M$ no tiene la patente.... aún), pero lo importante es resolverlo rápido y dar la cara ante el problema (eso para mí es ser profesional).

    #8 Realmente no te puedes fiar ni de tu madre... yo con la mía ando con mucho ojito :-)
    4 K 34
  13. Don_Raspu #13 Don_Raspu
    El link que se señala en el comentari #4 fue el que me resultó, pero ahora que lo vuelvo a probar ya no funciona. ¿Será que google lo habrá arreglado (o por lo menos parchado)?.
    0 K 6
comentarios cerrados

menéame