U svega nekoliko tjedana, zahvaljujući propustu su se mogle otkriti apsolutno sve Gmail adrese koje postoje, a iako sigurnosna rupa nije otkrila i lozinke, računi bi se na ovaj ili onaj način mogli ugroziti spamom, phishing pokušajima - ili tek jednostavno bruteforce napadima.

U studenom prošle godine, Hafif je otkrio kako izmjenama u URL-u stranice koja se pojavljuje nakon što korisnik odbije delegirati pristup drugom korisničkom računu može doći do prikupljanja podataka nekoliko desetaka tisuća Gmail adresa u par sati.

'Vjerujem da sam mogao otkriti apsolutno sve Gmail adrese koje su postojale', rekao je Hafif, koji inače radi za sigurnosnu kompaniju u Tel Avivu. Dodaje kako ova ranjivost potencijalno nije ugrozila samo Gmail račune, već i poslovne korisnike koji u svom hosting rješenju koriste Google. U jednom trenutku tijekom prikupljanja mail adresa, Hafifa su blokirali sigurnosni sustavi Googlea, koji inače djeluju protiv botova. On je pak jednostavno modificirao URL i nastavio dalje, kao da se ništa nije dogodilo.

Google je inicijalno čak odbio platiti otkriće ove ranjivosti pod svojim programom nagrada za otkrivanje sigurnosnih rupa, no kasnije su Hafifu pružili simboličnih 500 američkih dolara, što ga je opet razočaralo. 27-godišnjak se upitao i koliko bi spammeri ili određene zemlje na svijetu platile da dobiju listu svih Gmail računa...

Kako izgleda demonstracija napada u kojem su se prikupljale e-mail adrese pogledajte u nastavku, a za detalje svakako posjetite i stručnjakov blog: