De Israëlische site Nana komt met het verontrustende nieuws dat mailaccounts bij Googles Gmail niet veilig blijken te zijn. Een behoorlijk veiligheidslek zou voor volledige toegang tot de accounts zorgen, zonder dat er een password benodigd is. Een Israëlische hacker genaamd Nir Goldshlagger heeft dit tegenover Nana verklaard in een interview. Via een aparte link naar de Gmail-site was het mogelijk om een cookie van de gebruiker te stelen en zodoende toegang te krijgen tot de mailbox van die gebruiker. Zelfs als het slachtoffer zijn password zou veranderen, zou de hacker nog toegang hebben tot de mailbox met de gestolen cookie. Ondertussen is het veiligheidslek opgelost volgens Google en is Gmail weer veilig voor de gebruikers.
Ernstig veiligheidsgat gevonden in Googles Gmail
Lees meer over
Reacties (53)
Het is niet voor niets een BETA.
Als mensen gmail voor productie doeleinden gebruiken zijn ze niet goed bij hun hoofd.
Ik snap eerlijk gezegd niet dat dit frontpage nieuws is. Er zijn zoveel applicaties waarbij in de beta versie nog fouten of lekken zitten. Dit is echter pas interesant als het product in prodcutie gaat.
Als mensen gmail voor productie doeleinden gebruiken zijn ze niet goed bij hun hoofd.
Ik snap eerlijk gezegd niet dat dit frontpage nieuws is. Er zijn zoveel applicaties waarbij in de beta versie nog fouten of lekken zitten. Dit is echter pas interesant als het product in prodcutie gaat.
Bedrijfsnieuws
De beta status heeft volgens mij een andere reden. Gmail schend de privacy wetgeving. Niet alleen in de VS maar ook in de EU. Aangezien het om een gesloten beta gaat is deze wetgeving niet van toepassing. Het invite systeem zorgt er dan weer voor dat toch iedereen aan een accountje kan geraken.
Dit lijkt me uiterst sterk. Bovendien schendt Gmail geen rechten, want ze geven vantevoren aan dat je mail zal worden gescand om vervolgens relevante ads te tonen.
Ik weet niet of jij een spam filter oid. hebt, maar ook dat zou illegaal zijn aangezien die software ook scant op bepaalde trefwoorden.
Dus zou je sommige providers hier in nederland ook aan kunnen klagen.
Dus zou je sommige providers hier in nederland ook aan kunnen klagen.
mwoehahaha. Ik lig dubbelDe wet gaat hier niet op omdat een beta geen afgewerkt product is en dus nog aangepast kan worden om aan de wetgeving te voldoen.
Dan ga ik vanaf nu met beta-versies ftp-servers films en mp3s verspreiden, want daarop geld de wet niet.
Of ik ga spammen met een beta-versie van een mailprogramma (of beter nog, een beta-versie van een spam-programma)
En ik verspreid voortaan ook alleen nog maar beta-versies van virussen.
Het zou de oplossing zijn voor de medische industrie, lekker makkelijk experimenteren met medicijnen...
Wat moet de busmaatschappij in Eindhoven blij zijn met hun (in test-fase verkerende) Philias-tram/bus. Daarmee mag je dus door het rood rijden en ze hoeven niet te betalen bij het tanken en mochten ze een keer botsen, dan kunnen ze de passagiers met gebroken botten gewoon negeren. Want voor test-versies geldt de wet niet...
Doe mij een prototype van de nieuwe mercedes, want de snelheidslimieten beginnen me te vervelen..
Dat wetgeving niet zou gelden voor beta-versies is de grootste onzin die ik afgelopen jaar op t.net ben tegengekomen.
@pietje puk
En toch heeft het rechtssysteem er moeite mee....
Zie het voorbeeld van de man die zich aanbood om zich, na dat hij doodgemaakt was, op te laten eten.
De kannibaal in kwestie is wel veroordeeld, maar er was toch heftige discussie of hij schuldig is....
En toch heeft het rechtssysteem er moeite mee....
Zie het voorbeeld van de man die zich aanbood om zich, na dat hij doodgemaakt was, op te laten eten.
De kannibaal in kwestie is wel veroordeeld, maar er was toch heftige discussie of hij schuldig is....
De vraag is of google het mag vragen en of jij als gebruiker hier iets over te zeggen hebt.
(Extreem) voorbeeld.
Ik vraag jou om mij dood te schieten. Jij doet dat. Hoewel wij een overeenkomst hadden ben jij toch strafbaar. De wet gaat nu eenmaal boven contracten Hetzelfde kan opgaan voor GMail.
(Extreem) voorbeeld.
Ik vraag jou om mij dood te schieten. Jij doet dat. Hoewel wij een overeenkomst hadden ben jij toch strafbaar. De wet gaat nu eenmaal boven contracten Hetzelfde kan opgaan voor GMail.
Noem het 'educational' en opeens mag alles.Maar waarom de privacywetgeving niet zou gelden voor een gesloten beta ontgaat mij even.
. Het is bedoeld om ontwikkelingskosten omlaag te houden in de beginfase van productontwikkeling en is daarmee goed voor de economie.Zegt men...
Niet uit zen context trekken aub. Officieel zit het zo : Gmail is nog in ontwikkeling en moet in feite voldoen aan de wet, uiteraard is het mogelijk dat op sommige gebieden er nog gebreken zijn, maar deze moeten in het eindproduct verdwenen zijn.
-Wanneer je films of mp3s verspreid is het verspreiden de illegale activiteit.
-Spammen is op zich strafbaar en heeft niks me de software te maken
-Experimenten met medicijnen gebeuren nu toch ook? Er word een ethische weg afgelegd om zeker te zijn dat er geen slachtoffers zijn.
-...
-gmail is software dat MOGELIJK de wet schend. Het moet nog aan de wet getoetst worden wanneer het af is.
-Wanneer je films of mp3s verspreid is het verspreiden de illegale activiteit.
-Spammen is op zich strafbaar en heeft niks me de software te maken
-Experimenten met medicijnen gebeuren nu toch ook? Er word een ethische weg afgelegd om zeker te zijn dat er geen slachtoffers zijn.
-...
-gmail is software dat MOGELIJK de wet schend. Het moet nog aan de wet getoetst worden wanneer het af is.
Hahaha! Jij bent toch niet echt zo dom he?
Je mag de wet ook niet overtreden als je vantevoren aankondigd het te gaan doen.
Je kunt gewoon akkoord gaan met die voorwaarde en ze er vervolgens voor aanklagen omdat het tegen de wet is, bepalingen die tegen de wet zijn, gelden simpelweg niet.
Je mag de wet ook niet overtreden als je vantevoren aankondigd het te gaan doen.
Je kunt gewoon akkoord gaan met die voorwaarde en ze er vervolgens voor aanklagen omdat het tegen de wet is, bepalingen die tegen de wet zijn, gelden simpelweg niet.
Ze kunnen zoveel aangeven, maar dan nog wel rechten schenden. Voorwaarden staan nooit boven een wet.
Maar waarom de privacywetgeving niet zou gelden voor een gesloten beta ontgaat mij even.
edit: spuiterdespuit...
Maar waarom de privacywetgeving niet zou gelden voor een gesloten beta ontgaat mij even.
edit: spuiterdespuit...
De wet gaat hier niet op omdat een beta geen afgewerkt product is en dus nog aangepast kan worden om aan de wetgeving te voldoen.
@Ids Lupo
hij is toch veroordeeld?
hoezo heeft het rechtsssysteem er moeite mee?En toch heeft het rechtssysteem er moeite mee....
De kannibaal in kwestie is wel veroordeeld, maar er was toch heftige discussie of hij schuldig is....
hij is toch veroordeeld?
Ik weet niet of jij een spam filter oid. hebt, maar ook dat zou illegaal zijn aangezien die software ook scant op bepaalde trefwoorden.
Je draait hier de zaken om. Als je dat spamfilter zou gebruiken om juist reclame naar bepaalde personen toe te sturen, ben je strafbaar. Aangezien je een spamfilter gebruikt om personen *tegen* reclame te beschermen, mag het dus wel.
Je draait hier de zaken om. Als je dat spamfilter zou gebruiken om juist reclame naar bepaalde personen toe te sturen, ben je strafbaar. Aangezien je een spamfilter gebruikt om personen *tegen* reclame te beschermen, mag het dus wel.
Hahaha! Jij bent toch niet echt zo dom he?
Je mag de wet ook niet overtreden als je vantevoren aankondigd het te gaan doen.
Ze kunnen zoveel aangeven, maar dan nog wel rechten schenden. Voorwaarden staan nooit boven een wet.
Het grote verschil is: iemand doodschieten mag nóóit, iemand z'n mail inzien mag best na toestemming. Als ik een brief van de belastingdienst krijg, en jij maakt hem open ben je strafbaar, want je schendt het briefgeheim. Als ik je vraag om die brief te lezen om mij te helpen om hem te beantwoorden, hebben wij dus een overeenkomst dat jij mijn brief mag lezen en ben je dus niet strafbaar meer. Hetzelfde doet Google: ik vraag hen om mijn brieven van de belastingdienst te bewaren en in ruil daarvoor mogen zij ze lezen. Dus zo dom was het nog niet eens.Ik vraag jou om mij dood te schieten. Jij doet dat. Hoewel wij een overeenkomst hadden ben jij toch strafbaar. De wet gaat nu eenmaal boven contracten Hetzelfde kan opgaan voor GMail.
Je doelt op het scannen van je e-mail voor de reclames? Dat staat toch duidleijk in de voorwaarden, en zou zoals al gemeld ook meteen de virus en spam-controles die je provider doet oook illegaal maken.
Andermans e-mail lezen is alleen illegaal als je daar geen toestemming voor geeft.
Andermans e-mail lezen is alleen illegaal als je daar geen toestemming voor geeft.
Als e-mail electronisch gescand wordt, is dat ten allen tijde toegestaan, zolang het maar vantevoren aan de gebruiker kenbaar wordt gemaakt.
Dat zegt de wet in Nederland iig. In de VS zal de privacywetgeving minder streng zijn dan hier, dus daar al sowieso deze wet niet schenden.
Dat zegt de wet in Nederland iig. In de VS zal de privacywetgeving minder streng zijn dan hier, dus daar al sowieso deze wet niet schenden.
Heb je hier ook nog een bron voor? Of zit je nu gewoon wat Microsoft fanboys van slashdot na te praten?
zeg jij dat tegen de gebruikers? ik ken al mensen die gebruiken hun gmail alszijnde hun 'echte' email adres, schoolwerk, abonnementen, e-facturen staan allemaal in hun mail box. met rekeningnummers, met student gegevens, adres data. Dit zijn ICT'ers die horen te weten dat het slechts een beta is. Kun je nagaan wat de gewone leek met z'n mail box doet 
Niet dat gmail slecht is oid. 1gb is heel aantrekkelijk, beta of niet. Maar je moet er niet prat op gaan als je meel doos leeg is...of erger... je wachtwoord veranderd....
Niet dat gmail slecht is oid. 1gb is heel aantrekkelijk, beta of niet. Maar je moet er niet prat op gaan als je meel doos leeg is...of erger... je wachtwoord veranderd....
Beta of niet, publiekelijk is dit niet gecommuniceerd en 80% van de abonnees weten niet wat een Beta status betekend, of uberhaupt al dat GMail een beta status heeft. Daarbij komt ook nog het grote aantal gebruikers, en dan ben ik wel van mening dat je verantwoordelijk moet omgaan met deze verantwoordelijkheid. Nu doet Google dat ongetwijfeld, maar het is van de zotte om te zeggen "Omdat Gmail een beta status heeft kan je dat verwachten". Zodra jij publiekelijk accounts gaan uitdelen op grote schaal (want de invites zijn ook nog flink actief) dan behoor je gewoon veiligheid in de gaten te houden, of je nu alpha beta of release candidate statussen geeft aan je software.
Hopen dat meneer B. Gates dit meeleest. Windows Longhorn zal dan geen "Windows Longhorn" heten, maar "Windows Longhorn beta", dan is Microsoft direct van alle kritiek af, immers, Windows is toch nog beta. 
Ok, longhorn is de code naam, maar je snapt het idee.
Ok, longhorn is de code naam, maar je snapt het idee.
Het wordt wel sterk belicht, dat security praatje. Dat ieder fietsslot te kraken is blijkbaar geen probleem. Maar dat iedere functionaliteit ook een risico is, dat valt minder goed. Zijn we ook niet een beetje aan het zeuren met zijn allen? Is het niet veel mode om woorden te wijten aan een lek? En dan het default Microsoft-bashing mechanisme erbij. 
Persoonlijk interesseert het me weinig of iets wel/niet secure is. Als de functionaliteit me bevalt gebruik ik het. Voor 99% is alles reproduceerbaar en wat mij betreft mag dat gehackt of gemold worden, ik kan toch sneller herstellen. Die delicate 1% hou ik secure door gewoon niet bloot te stellen aan functionaliteit (=insecurity).
Ik verwacht een negatieve moderatie, jullie zijn er waarschijnlijk nog niet aan toe om de security-huilebalk in jezelf te herkennen.
Persoonlijk interesseert het me weinig of iets wel/niet secure is. Als de functionaliteit me bevalt gebruik ik het. Voor 99% is alles reproduceerbaar en wat mij betreft mag dat gehackt of gemold worden, ik kan toch sneller herstellen. Die delicate 1% hou ik secure door gewoon niet bloot te stellen aan functionaliteit (=insecurity).
Ik verwacht een negatieve moderatie, jullie zijn er waarschijnlijk nog niet aan toe om de security-huilebalk in jezelf te herkennen.
Je kunt het vergelijken met bijvoorbeeld het autoverkeer; het is per definitie niet veilig het te gebruiken, toch doen we het..Persoonlijk interesseert het me weinig of iets wel/niet secure is.
Bij jou is het gebruik toch 'veilig' te noemen omdat je een gecalculeerd risico neemt en toch op een een bepaalde manier veiligheidsmaatregelen genomen hebt.
Voor andere mensen ligt dat anders, die weten niet dat iets onveilig kan zijn en gebruiken het toch alsof ze in de bank of london zitten.
Daar heb je gelijk in. Het is alleen zo dat diezelfde mensen helemaal los gaan met kritiek op de dienst, in plaats op hun gebrekkige gebruik ervan.
Goed dat ze het snel hebben opgelost.
Ik vind eigenlijk ook dat dit soort berichten na het oplossen van het probleem pas gepubliceerd mogen worden.
De minder mensen van het lek afweten, de minder misbruik er van gemaakt word.
Ik vind eigenlijk ook dat dit soort berichten na het oplossen van het probleem pas gepubliceerd mogen worden.
De minder mensen van het lek afweten, de minder misbruik er van gemaakt word.
Ja, alleen jammer dat veel bedrijven pas aandacht aan een lek besteden als het volop in het nieuws is.
Maar als niemand het weet/melding van maakt, blijft het een factor die ze over het hoofd hebben gezien. Anders had het nooit een probleem geweest.
Dus het kan haast niet anders dan op deze manier.
Dus het kan haast niet anders dan op deze manier.
"security through obscurity" heet dat dan
er is een verschil tussen melden aan diegenen die het kunnen oplossen en de hele procedure aan de grote klok hangen zodat elk idioot scriptkiddie accounts kan gaan hacken.
Google heeft er verstandig aan gedaan om het nog steeds een BETA te noemen. Dan weet men dat de service niet per definitie 100% betrouwbaar zal zijn.
Het lijkt op een XSS-exploit. Uit ervaring weet ik dat bedrijven XSS-exploits niet altijd meteen serieus nemen. Een aantal grote diensten/bedrijven in Nederland, hebben bijvoorbeeld nog steeds niet gereageerd op berichten van mijn kant over XSS-exploits op de websites van hen.
Met XSS kan je meer doen dan je denkt. Maar goed, zelfs na wat uitleg en voorbeelden reageren ze nog lang niet allemaal.
Dus wat kan je dan nog doen? In het nieuws brengen, want dan wordt de druk groter, de kans groter dat men de exploit zal gaan gebruiken. Dus MOET het gefixt worden.
Het lijkt op een XSS-exploit. Uit ervaring weet ik dat bedrijven XSS-exploits niet altijd meteen serieus nemen. Een aantal grote diensten/bedrijven in Nederland, hebben bijvoorbeeld nog steeds niet gereageerd op berichten van mijn kant over XSS-exploits op de websites van hen.
Met XSS kan je meer doen dan je denkt. Maar goed, zelfs na wat uitleg en voorbeelden reageren ze nog lang niet allemaal.
Dus wat kan je dan nog doen? In het nieuws brengen, want dan wordt de druk groter, de kans groter dat men de exploit zal gaan gebruiken. Dus MOET het gefixt worden.
Ik dacht ook al aan XSS, vooral omdat de link op eigen servers en het stelen van cookies werd genoemd. Wat ik dan wel vreemd vind is dat de inhoud van je Gmail cookie (nooit bekeken, gebruik geen Gmail) blijkbaar geen paswoord (hash) gebruikt om zichzelf te identificeren. Misschien achten ze een combinatie van token en geheime sleutel genoeg?
Lezen is ook een vak..
In order not to further jeopardize mail boxes' owners, we will only disclose that the process is based upon a security breach in the service's identity authentication. It allows the hacker to "snatch" the victims cookie file (a file planted in the victim's computer used to identify him) using a seemingly innocent link (which directs to Gmail's site itself). Once stolen, this cookie file allows the hacker to identify himself as the victim, without the need of a password. Even if the victim does change his password afterwards, it will be to no avail. "The system authenticates the hacker as the victim, using the stolen cookie file. Thus no password is involved in the authentication process. The victim can change his password as many times as he pleases, and it still won't stop the hacker from using his box", explains Goldshlagger.
Kan ik hieruit begrijpen dat het dus mogelijk was dat idien je anders cookie had je toegang tot zijn gmail had/hebt.
Dus locaal copyeren zou ook moeten werken dunkt mij?
Dus locaal copyeren zou ook moeten werken dunkt mij?
Het is nog BETA... (heb het zelf) en ik heb heel weinig bugs... 
ben wel blij dat er goeie hackers zijn die die Hole hebben gereport, want ik wil niet weer zo een gedoe dat all die kinderen zeggen "ik ga Gmail hacken" en gaan ze naar de secret question... lol!!
ben wel blij dat er goeie hackers zijn die die Hole hebben gereport, want ik wil niet weer zo een gedoe dat all die kinderen zeggen "ik ga Gmail hacken" en gaan ze naar de secret question... lol!!
Idd, hackers zijn niet altijd slecht. Hackers (sommige dan) reporten net als in dit geval veiligheids lekken zodat die gedicht kunnen worden.
Mag je jezelf hacker noemen als je achter XSS-exploits komt? Dat lijkt me niet toch?
XSS-exploits zijn de meest simpele exploits, naast SQL-injections om achter te komen.
XSS-exploits zijn de meest simpele exploits, naast SQL-injections om achter te komen.
Maar goed dat ik mijn Gmail account nog niet volledig in gebruik heb genomen.
Fijn dat Google dit lek al zo snel heeft gedicht . maar diverse andere webmails van bekende NL providers zijnen ook erg lek te zijn. Hopelijk lezen die providers ook dit nieuwsbericht zodat ze meteen weten dat webmail's lek kunnen zijn.
. maar diverse andere webmails van bekende NL providers zijnen ook erg lek te zijn. Hopelijk lezen die providers ook dit nieuwsbericht zodat ze meteen weten dat webmail's lek kunnen zijn.
Hoe kan ik aan een Gmail account komen?
Hey, t.net.
Als jullie zo lang wachten met nieuws posten, dan kun je het beter niet meer posten. Post dan liever het bericht dat het gat gedicht is. Het is een beetje jammer dat nadat andere sites (bv webwereld, waar jullie toch ook regelmatig kijken?) al gemeld hebben dat het probleem opgelost is, jullie met de melding komen dat er een beveiligingsgat gevonden is. Zo krijg je het idee dat er nieuwe gaten gevonden zijn, terwijl het gewoon oud nieuws is.
Het is alsof je het nieuws gaat posten dat iemand met spoed in het ziekenhuis is opgenomen nadat andere bronnen al gemeld hebben dat hij weer naar huis is.
Als jullie zo lang wachten met nieuws posten, dan kun je het beter niet meer posten. Post dan liever het bericht dat het gat gedicht is. Het is een beetje jammer dat nadat andere sites (bv webwereld, waar jullie toch ook regelmatig kijken?) al gemeld hebben dat het probleem opgelost is, jullie met de melding komen dat er een beveiligingsgat gevonden is. Zo krijg je het idee dat er nieuwe gaten gevonden zijn, terwijl het gewoon oud nieuws is.
Het is alsof je het nieuws gaat posten dat iemand met spoed in het ziekenhuis is opgenomen nadat andere bronnen al gemeld hebben dat hij weer naar huis is.
Ik wil niet vervelend doen, maar dat staat er al langOndertussen is het veiligheidslek opgelost volgens Google en is Gmail weer veilig voor de gebruikers.
Het staat er waarschijnlijk zelfs al sinds het begin, maar punt blijft dat t.net vandaag met "Ernstige veiligheidsgaten gevonden in Google Gmail" komt terwijl gisteren al in het nieuws was dat ze gedicht zijn (en woensdag in het nieuws was dat ze gevonden waren).
Door nu nog met dit achterhaalde nieuws (in de titel) te komen suggereer je dat er opnieuw gaten gevonden zijn, maar dat is niet zo (althans, daar gaat dit bericht niet over).
Door nu nog met dit achterhaalde nieuws (in de titel) te komen suggereer je dat er opnieuw gaten gevonden zijn, maar dat is niet zo (althans, daar gaat dit bericht niet over).
ik ben het er helemaal mee eens. dit is gewoon oud nieuws. een dagje later, ok.. maar een halve week later..
het is inderdaad verwarrend, en wat mij betreft had tweakers het nieuws dan ook beter weg kunnen laten.
kun je wel zeggen 'server verhuizing' etc.. maar er zijn meer nieuwssites dan tweakers.
op webwereld, /. en diverse fora is dit uitgebreid aan de orde geweest, nu doet tweakers alsof het "nieuws" is.
ik vind dat Roland hier een goed punt maakt.
het is inderdaad verwarrend, en wat mij betreft had tweakers het nieuws dan ook beter weg kunnen laten.
kun je wel zeggen 'server verhuizing' etc.. maar er zijn meer nieuwssites dan tweakers.
op webwereld, /. en diverse fora is dit uitgebreid aan de orde geweest, nu doet tweakers alsof het "nieuws" is.
ik vind dat Roland hier een goed punt maakt.
http://www.tweakers.net/etc.dsp?Action=Newssubmit
Enneh... ik wist het nog niet.
Enneh... ik wist het nog niet.
Wou jij zeggen dat dit bericht niet meer waar is dan? Alles wat gisteren, of nog erger, een week geleden is gebeurt is al hopeloos achterhaalt natuurlijk.Nee, het moet weg omdat het achterhaald is.
ach·ter·haald (bn.)
1 niet meer waar, niet langer geldig => voorbijgestreefd
Je moet niet zo lopen te zeiken op t.net, zij doen gewoon hun best om een goede site te maken, gratis bovendien, en dan ga jij een beetje lopen zeiken. Je moet een gegeven paard niet een de bek kijken wordt wel eens gezegt he.
Als het nou een betaalde site was kan ik je gezeik nog begrijpen, maar dit is echt belachelijk.
Als het niet goed genoeg is voor onze uberroland dan ga je toch gewoon ergens anders heen.
Lees de abonnementen sectie eens door. t.net *is* een betaalde site, waarvoor je in geld of adviews betaalt, en alle medewerkers worden ook betaald voor hun bijdrage.
Dus omdat het voor JOU oud nieuws is moet het weg? Ik had het namelijk nog niet gelezen. Gelukkig draait de wereld niet om jou.
Op dit item kan niet meer gereageerd worden.