Google дава немалки награди на потребителите, които намират уязвимости в неговия софтуер. Неотдавна пакистанският студент Ахмед Мехтаб попадна в залата на славата на Google и бе включен в програмата Vulnerability Reward Program.
Известно е, че ако имате повече от един пощенски адрес, Google дава възможност за свързване на адресите. Възможно е и да се настрои автоматичното прехвърляне на електронните писма от основния акаунт към другите адреси. Ахмед Мехтаб показа, че тези методи са уязвими и е възможно да се заобиколи и избегне верификацията.
Ако SMTP на получателя е изключен Ако получателят е деактивирал своя акаунт Ако получателят не съществува Ако получателят е блокирал подателя
Алгоритъмът за проникване е следният:
Хакерът се опитва да потвърди, че е собственик на акаунта [You must be registered and logged in to see this link.] Google изпраща писмо на [You must be registered and logged in to see this link.] за потвърждение [You must be registered and logged in to see this link.] няма възможност да получи писмото и то се изпраща обратно В това писмо се съдържа кода за верификация Хакерът взема този код и потвърждава, че е собственик на [You must be registered and logged in to see this link.]
В рамките на програмата Vulnerability Reward Program (VRP) интернет-гигантът дава награди за разкрити уязвимости в своите уеб-услуги. Възнагражденията са до $20 000.
__________________________________________________________________________ [You must be registered and logged in to see this image.]
Пакистански студент разкри уязвимост в Gmail, даваща възможност за проникване във всеки Gmail акаунт