Google lost onderscheppingen Gmail-berichten op

Twee leden van HBX Networks hebben enkele dagen geleden een serieus lek gevonden in Googles mailsysteem Gmail. Bij toeval werd ontdekt dat berichten van andere personen konden worden onderschept via eigen accounts. Tijdens het testen van een Perl-script om nieuwsbrieven naar mailinglijsten te versturen, hadden de twee ontwikkelaars de From-header in het mailbericht vergeten af te sluiten. In plaats van bijvoorbeeld From:<hbxnetworks@gmail.com> werd deze header zonder het laatste karakter verzonden, dus als From:<hbxnetworks@gmail.com. Na het ontvangen en openen van het bericht in Gmail en het vervolgens klikken op de opties-knop, bleken gedeeltes van andermans berichten in beeld te verschijnen.

Beveiligingslek Gmail

Google heeft inmiddels het lek gedicht en onduidelijk blijft hoe lang het bestaan heeft. De onderschepte informatie bestond veelal uit complete of gedeeltelijke berichten van willekeurige gebruikers. In de meeste gevallen ging het daarbij om spamberichten. Echter zaten er ook bevestigingsberichten met gebruikersnamen en wachtwoorden voor webdiensten tussen. De ontdekkers vermoeden dat de onderschepte berichten afkomstig zijn uit achtergebleven informatie in het geheugen op de servers van Gmail. Door het ontbreken van het sluitende karakter in de From-header zou mogelijk deze informatie ook ingelezen worden.

Door Harold van der Wal

Nieuwsposter

Feedback • 13-01-2005 22:20 29

13-01-2005 • 22:20

29

Bron: HBX Networks

Lees meer

Google verspreidt virus via blog
Google verspreidt virus via blog Nieuws van 9 november 2006
Google dicht door 14-jarige gevonden Gmail-lek
Google dicht door 14-jarige gevonden Gmail-lek Nieuws van 4 maart 2006
Overzicht van creatieve Gmail-toepassingen
Overzicht van creatieve Gmail-toepassingen Nieuws van 15 oktober 2005
Google verhoogt opslagcapaciteit Gmail naar 2GB
Google verhoogt opslagcapaciteit Gmail naar 2GB Nieuws van 1 april 2005
Google gaat meer Gmail-gebruikers toestaan
Google gaat meer Gmail-gebruikers toestaan Nieuws van 19 februari 2005
Google heeft interesse voor ongeëxploiteerde glasvezels
Google heeft interesse voor ongeëxploiteerde glasvezels Nieuws van 18 januari 2005
Google dicht een lek in Froogle
Google dicht een lek in Froogle Nieuws van 17 januari 2005
Google maant adverteerders tot correct taalgebruik
Google maant adverteerders tot correct taalgebruik Nieuws van 14 januari 2005
Ernstig veiligheidsgat gevonden in Googles Gmail
Ernstig veiligheidsgat gevonden in Googles Gmail Nieuws van 31 oktober 2004
Google breidt Gmail uit met extra functionaliteit
Google breidt Gmail uit met extra functionaliteit Nieuws van 6 oktober 2004
Privacygroepering breidt beschuldigingen Gmail uit
Privacygroepering breidt beschuldigingen Gmail uit Nieuws van 19 april 2004
Google overweegt aanpassingen Gmail
Google overweegt aanpassingen Gmail Nieuws van 14 april 2004
Meer producten en artikelen
Bedrijfsnieuws

Reacties (29)

-Moderatie-faq
29
28
20
11
3
1
Wijzig sortering

Sorteer op:

Weergave:
Peter 13 januari 2005 22:32
Dit is niet zo netjes van google zelf, zeker omdat het toch een vrij basic bug is (verkeerde invoerwaarde), ondanks het feit dat juist dit soort bugs snel over het hoofd worden gezien. Daarnaast heeft google ook nog eens mazzel dat het ontdekt is door een eerlijk lid, en niet iemand die constant gaat zitten refreshen (of meerdere e-mails sturen) om zoveel mogenlijk gegevens te verkrijgen.

Het is in ieder geval wel duidelijk waarom GMail nog in de bèta fase zit :P
kodak
@Peter13 januari 2005 23:57
"Daarnaast heeft google ook nog eens mazzel dat het ontdekt is door een eerlijk lid, en niet iemand die constant gaat zitten refreshen (of meerdere e-mails sturen) om zoveel mogenlijk gegevens te verkrijgen."

Wees daar maar niet al te zeker van, want er is geen enkele informatie vrijgegeven of er niet al eerder gebruik van is gemaakt. Ik denk niet dat iemand hier dan flink heeft zitten vissen naar andermans berichten, maar van iemand die het al in zn hoofd haalt om het op een bepaalde manier te misbruiken kunnen wel gekkere dingen verwacht worden. Er zijn genoeg personen op de wereld die met genoegen naar dit soort bugs in grootschalige systemen zoeken en de ontdekking koesteren zonder er maar iets over te zeggen tegen Google of wie dan ook. Pas als iemand die het ook misbruikt heeft zn mond voorbij praat of wanneer Google na heeft gegaan of het niet eerder misbruikt is is er pas zekerheid.
Neus 13 januari 2005 22:23
Hoe hebben ze dat dan opgelost, het geheugen sneller wissen ?
Verwijderd @Neus13 januari 2005 22:30
Gewoon een betere controle op de invoerwaarde. Als programmeur behoor je alle situaties te voorzien en te voorkomen.

Veel voorkomend probleem is bijvoorbeeld mensen die een letter intypen bij een invoerveld voor nummers. Alle rekenformules lopen dan de mist in, dus als programeur moet je dan eerst controleren of de gebruiker alleen cijfers heeft gebruikt.

In dit geval dus eerst controleren of de From-header juist geformateerd is.
needless to say @Verwijderd13 januari 2005 23:08
Als programmeur behoor je alle situaties te voorzien en te voorkomen.
Correctie:

als programmeur moet je steeds een evenwicht proberen te vinden tussen controle op gegevens en gebruiksvriendelijkheid van het programma/service en broncode.

Je kan onmogelijk alles voorzien, of bugs zouden niet van deze wereld zijn ;).
Mr. B. @needless to say13 januari 2005 23:16
als programmeur moet je steeds een evenwicht proberen te vinden tussen controle op gegevens en gebruiksvriendelijkheid van het programma/service en broncode.
Invoerwaarden die fouten kunnen opleveren behoor je altijd te controleren voordat je applicatie er iets mee gaat doen. De gebruikersvriendelijkheid zit 'm in de manier waarop je de gebruiker wijst op z'n foute invoer.
Je kan onmogelijk alles voorzien, of bugs zouden niet van deze wereld zijn .
Dat is maar al te waar :P
Dwar @Neus13 januari 2005 22:26
Ik denk door te controleren of het afgesloten word en zoniet het alsnog automatich te doen.
Hoaxbe @Dwar13 januari 2005 22:27
Waarschijnlijk door de tags van die "From" header te sluiten in de code :)
Spiller @Dwar13 januari 2005 22:27
Zorgen dat ie in het options scherm een andere pagina laadt?
edit:

Jahoor; hoezo dubbelpost :P
Magic @Neus13 januari 2005 22:27
Waarschijnlijk door het '>' teken niet meer als scheidingsteken te gebruiken ;)
Equator Crew Council @Magic14 januari 2005 07:50
Ik ben bang van niet..
Binnen smtp kan je nl de < en > gebruiken om een vriendelijke naam te scheidne van het werkelijke emailadres.

John Doe <J.Doe@whatever.com> is dus een correcte invoer voor een to/cc/bcc field.

Het is dus niet eens een scheidingsteken, daar wordt nl. meestal de comma of de punt-comma gebruikt.
StefSybo @Neus13 januari 2005 22:27
Waarschijnlijk controleren of die > erachter staat en anders erachter plakken
Verwijderd @Neus13 januari 2005 22:29
mayb extra check inbouwen bij de from input controle? :P
DRvDijk 13 januari 2005 23:06
Ik vind het toch wel gek dat zo'n lek überhaupt heeft bestaan. Email-berichten zijn toch duidelijk gespecificeerd (in RFC 822), hoe de headers eruit moeten zien, hoe de headers gescheiden moeten worden van de body (door een lege regel), et cetera. Dat betekent dus dat ze bij het ontwerpen van de dienst daar géén goed gebruik van hebben gemaakt.

Wat ik wil zeggen is dat het standaard regels zijn die voor alle headers hetzelfde zouden moeten zijn, en waarom het dan alleen voor deze header zo is. Zouden er dan niet nog 100 andere headers zijn die ook 'fout' zijn bij gmail?
Verwijderd @DRvDijk13 januari 2005 23:34
De verkeerde header is in elkaar geknutseld door het scriptje van die programmeurs:
Tijdens het testen van een Perl-script om nieuwsbrieven naar mailinglijsten te versturen, hadden de twee ontwikkelaars de From-header in het mailbericht vergeten af te sluiten.
Het is dus niet zo dat
ze bij het ontwerpen van de dienst daar géén goed gebruik van hebben gemaakt.
Mr. B. @Verwijderd13 januari 2005 23:44
De verkeerde header is in elkaar geknutseld door het scriptje van die programmeurs:
Tijdens het testen van een Perl-script om nieuwsbrieven naar mailinglijsten te versturen, hadden de twee ontwikkelaars de From-header in het mailbericht vergeten af te sluiten.

Het is dus niet zo dat ze bij het ontwerpen van de dienst daar géén goed gebruik van hebben gemaakt.
Jawel. Dat je eigen applicatie geen incorrecte input genereert, wil nog niet zeggen dat andere applicaties dat ook niet doen. Als je input accepteert van andere bronnen dan jezelf dan dien je die input te controleren. Dat is iets wat Google dus nagelaten heeft.
Olaf van der Spek @DRvDijk14 januari 2005 00:35
Ik vind het toch wel gek dat zo'n lek überhaupt heeft bestaan.
Zo gek is het niet hoor. Het is net zoals vrijwel alle andere lekker gerelateerd aan het niet (goed) controleren van de invoer.
Verwijderd 14 januari 2005 07:44
Ach, eigenlijk maakt het niet zoveel uit. Je mail en data is door google toch al te scannen op inhoud, en na 180 dagen is volgens de US law je mail toch al niet meer prive.

Dus eigenlijk zou het enkel met mails van 180 dagen oud mogen gebeuren. ;) Enne, ik heb niks te verbergen, dus iedereen mag alles van mij weten, toch?
Verwijderd @Verwijderd14 januari 2005 11:10
Waar haal je dat een email na 180 dagen niet meer privé zou zijn ?
Verwijderd @Verwijderd14 januari 2005 15:55
uit de Electronic Communications Privacy Act

link naar betreffende onderdeel:
http://www.usdoj.gov/criminal/cybercrime/usc2703.htm

en aangezien google in de US gevestigd is.
Verwijderd @Verwijderd14 januari 2005 09:15
Mag ik het bevestigings mailtje van je tweakers.net account?
bitflusher 14 januari 2005 02:54
daarom is het toch beta??
beta is toch test om dit soort serieuze dingen niet in een final omgeving terecht te laten komen.

voor mij persoonlijk niet meer dan lof voor google omdat:
-het niet uit beta fase is gehaald terwijl het prima leek te werken.
- een lek als dit snel is opgelost.
ronaz 14 januari 2005 10:43
Lijkt me niet echt verstandig om een e-mailservice die nog in het beta stadium zit te gebruiken voor gevoelige e-mails.

Zelf gebruik ik gmail alleen voor het ontvangen van funstuff en newsletters (spam) etc.

Ik zal hier zelf nooit mijn credit card gegevens of accountgegevens naar laten mailen.
Verwijderd 13 januari 2005 22:33
Ben benieuwd of dit aanzet tot een zoektocht over andere mailservers naar dit soort header-lekjes.
Verwijderd 13 januari 2005 22:43
edit:

mod maar als overbodig: link staat al in artikel :z :)


Meer info: http://dump.hbx.us/gmail_bug_hack/

Reactie van Chris DiBona (google):
Just so you know, at 10:15am PST mails with the problematic formatting as described in your previous story stopped being accepted into Gmail. Previous emails that had this problem will also no longer will be accessible. If you don't mind, I'd like to take the time to remind Slashdot readers that they can send bugs that may have a security aspect into security@google.com. If they like, they should feel free to cc me at cdibona@google.com. We appreciate your patience and we're sorry about the bug.
http://it.slashdot.org/article.pl?sid=05/01/12/1655246&tid=172&tid=215 &tid=217&tid=218
Verwijderd 13 januari 2005 23:06
Lol... nu moet google wel uitkijken hoor. Er zal in Amerika vast wel Gmail gebruiker rondlopen die zich nu niet meer veilig voelt en Google aansprakelijk stelt voor een onveilige beta versie.
boekel 14 januari 2005 01:22
:D ik dacht bij het lezen van de titel dat het ging om het onderscheppen van g-mail invites naar hotmail adressen :D

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq