Peretas Pakistan telah menemukan kerentanan utama dalam proses verifikasi Gmail yang memungkinkan peretas meretas akun email apa pun.
Kita semua tahu bahwa Google selalu mendukung pemrogram baru, peretas topi putih, dan peneliti keamanan dan kesempatan untuk membuktikan keahlian mereka dan mereka juga membayar para peneliti tersebut dalam Penghargaan Kerentanan Google program.
Saat ini hanya untuk menjaga keamanan pengguna dari berbagai serangan cyber, hampir setiap perusahaan raksasa telah menerapkan bug bounty program di mana kandidat yang berhasil diberi hadiah untuk menemukan kekurangan atau kerentanan dalam diri mereka jasa.
Baru-baru ini, seorang mahasiswa Pakistan dan CEO dari Sekering Keamanan, Ahmed Mehtab terdaftar di Google's Hall of Fame karena menemukan kelemahan utama di Gmail yang memungkinkan siapa pun meretas akun email apa pun.
Namun, kualifikasi untuk VRP Google tidak akan pernah mudah sehingga menjadi penting bahwa kerentanan/cacat diidentifikasi dalam salah satu kategori yang disebutkan:
Jika Cacat/Kerentanan tampaknya yang valid maka para peneliti dapat mengharapkan untuk menerima hingga $20.000 dari Google. Tebak apa! Ahmed Mehtab adalah yang terbaru untuk memenangkan hadiah uang oleh Google.
Gmail memungkinkan pengguna untuk mengatur alamat penerusan sehingga email yang diterima pengguna juga dikirim ke yang lain menambahkan alamat email. Ahmed Mehtab mengatakan, “Kedua modul ini sebenarnya rentan terhadap otentikasi atau bypass verifikasi. Ini mirip dengan pengambilalihan akun tetapi di sini saya sebagai penyerang dapat membajak alamat email dengan mengonfirmasi kepemilikan email dan dapat menggunakannya untuk mengirim email.”
Ahmed Mehtab Said dalam blognya Sekering Keamanan bahwa setiap alamat email dapat diretas jika cocok dengan salah satu kasus berikut-
Penyerang mencoba mengonfirmasi kepemilikan ownership [dilindungi email]
Google mengirim email ke [dilindungi email] untuk konfirmasi
[dilindungi email] tidak dapat menerima email sehingga email dipantulkan kembali ke Google
Google memberi penyerang pemberitahuan kegagalan di kotak masuknya dengan kode verifikasi
Penyerang mengambil kode verifikasi itu dan mengonfirmasi kepemilikannya untuk [dilindungi email]
Ahmed Mehtab juga memposting video yang direkam pada saat rentan. Namun, dia menyebutkan bahwa dia tidak diberikan penghargaan untuk masalah keamanan yang begitu serius tetapi mereka mendaftarkannya di Google's Hall Of Fame untuk kontribusinya.