BREAKING: New Gmail Security Flaw. More Domains Get Stolen! | MakeUseOf.com
事件のあらましは以下の通りである。makeuseof.comが、何者かによって盗まれた。奴は他にも沢山のドメインを盗んでいるようだ。しばらくして、犯人を自称する者から、ドメインを返して欲しければ二千ドルを払えという脅迫メールが送られてきた。
しかし、なぜドメインが盗まれたのか。どうやら、レジストラに登録しているGMailアドレスがハックされたらしい。そしてドメインの所有権が他のレジストラに移されたようだ。GMailのアカウントには、いくつかのフィルタが仕掛けられていて、メールを転送するようになっていた。しかしパスワードは15文字も使っているし、キーロガーの類も仕掛けられていない。一体どうやって奴はGMailをハックしたのか。
リンク先は途中の経緯などを記していて、非常に冗長なので、結論だけ書いておく。どうもこのハッカーは、パスワードを突破し、自分でGMailにログインしたわけではないらしい。そのドメインの所有者が、GMailのアカウントにログインしたまま、他の悪意のなさそうなページを見た際に、何らかのmultipart/form-data POSTを使って、そのユーザのブラウザ側から、GMailにメールを転送させるフィルタを作らせたらしい。その転送されたメールを読んで、必要な情報を手に入れ、ドメインの所有権の転送を行ったものとみえる。
これを許してしまうGMailにも問題がある。興味深いことに、似たような問題が以前にも発見されていて、修正されている。では今回の騒動は何なのか。まだ似たような問題があるのか。
No comments:
Post a Comment