Английский разработчик Бен Рейес написал в своём блоге, как он зарегистрировал только что истёкший домен и в качестве бонуса получил к нему чужой ящик Gmail, календарь и контакты. Завладев чужим ящиком, Бен смог зайти и в аккаунты на сторонних сервисах, таких как Amazon.
Провернуть такую операцию получилось с помощью Google Apps. Дело в том, что Бен захотел после получения домена сразу же привязать его к своему аккаунту Google App, но обнаружил, что домен уже к кому то привязан.
Бен обратился за помощью к знакомым в твиттере и ему ответил сотрудник Google, который объяснил, что у них в справочном разделе описана процедура, как восстановить привязку домена к аккаунту. Он изменил соответствующие настройки (скриншот) и получил админский доступ к сайту. Интересно, что Google предложил на выбор два админских аккаунта на двух разных незнакомых людей. Бен выбрал один из них случайным образом и установил новый пароль. Следующее, что он увидел, был почтовый ящик с архивом почты за несколько лет с кучей паролей и другой ценной информации.
Через несколько минут Бен уже был на сайте Amazon под чужим именем. Дальше он ничего не делал, но говорит, что мог бы зайти также в аккаунты Dropbox, Facebook и PayPal. Каждый знает, какие возможности открываются у того, кто получил доступ к чужому почтовому ящику (читай хронику взлома HBGary группировкой Anonymous).
В общем, пока что дыра в Google Apps не закрыта, и некоторые недобросовестные граждане уже написали скрипт на Python по поиску свежеистёкших доменов с привязкой к Google Apps.
Провернуть такую операцию получилось с помощью Google Apps. Дело в том, что Бен захотел после получения домена сразу же привязать его к своему аккаунту Google App, но обнаружил, что домен уже к кому то привязан.
Бен обратился за помощью к знакомым в твиттере и ему ответил сотрудник Google, который объяснил, что у них в справочном разделе описана процедура, как восстановить привязку домена к аккаунту. Он изменил соответствующие настройки (скриншот) и получил админский доступ к сайту. Интересно, что Google предложил на выбор два админских аккаунта на двух разных незнакомых людей. Бен выбрал один из них случайным образом и установил новый пароль. Следующее, что он увидел, был почтовый ящик с архивом почты за несколько лет с кучей паролей и другой ценной информации.
Через несколько минут Бен уже был на сайте Amazon под чужим именем. Дальше он ничего не делал, но говорит, что мог бы зайти также в аккаунты Dropbox, Facebook и PayPal. Каждый знает, какие возможности открываются у того, кто получил доступ к чужому почтовому ящику (читай хронику взлома HBGary группировкой Anonymous).
В общем, пока что дыра в Google Apps не закрыта, и некоторые недобросовестные граждане уже написали скрипт на Python по поиску свежеистёкших доменов с привязкой к Google Apps.
