В сервисах Google нашли кучу дыр
Петко Петков (Petko Petkov), участник хакерской организации
Подобный тип взлома называется "межсайтовая подмена запроса" (cross-site request forgery, CSRF). Сайт злоумышленников посылает на Gmail команду multipart/form-date POST (как назывет ее Петков) и с ее помощью настраивается копирование всех писем с атакованного почтового ящика на адрес хакеров. Причем, копируются как вновь приходящие письма, так и старые (если они хранятся в веб-ящике Gmail). Даже когда Google устранит уязвимость, фильтр будет пересылать сообщения до тех пор, пока остается в списке.
Петко Петков не рассказывает в подробностях о механизме работы "бага" Gmail и призывает всех остальных тоже не делать этого, чтобы компания Google успела устранить уязвимость. Как
Сотрудник российской компании "Яндекс" в частной беседе
На данный момент
Уязвимости, подобные той, что обнаружил Петко Петков в Gmail, замечены и в других продуктах Google. По
Все три уязвимости использовали т.н. "межсайтовый скриптинг" (cross site scripting, XSS), а для взлома Google Picasa была задействована также технология CSRF и некоторые ошибки в работе Flash и обработки URI. Уязвимость Google Groups уже закрыта, по остальным пунктам Google работает и, в том числе, готовит рекомендации для пользователей. В частности, там говорится о том, как опасно устанавливать в Picasa дополнительные кнопки неизвестного происхождения.