По адресу @gmail.com можно узнать имя человека / Информационная безопасность / Хабрахабр

По адресу @gmail.com можно узнать имя человека

Специалисты по безопасности рассказывают об интересной уязвимости в системе защиты Google, которая позволяет узнать настоящее имя и фамилию человека, под которыми он открыл Google Account. Для этого достаточно знать всего лишь его адрес электронной почты.

Делается это так: в «Календаре» в меню «Добавить» выбираете «Добавить календарь друга», затем на вкладке «Календари друзей» вводите его адрес, жмёте кнопку «Добавить» и «Сохранить». Когда вы потом вернётесь в это меню, там уже будет указано имя и фамилия искомого человека (если у него есть календарь). Так хакеры-экспериментаторы вычислили, кто скрывается за адресом admin@gmail.com (см. скриншот).

via SecuriTeam

+77

16 июля 2008, 15:08

alizar

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (55)

+18

CurlyBrace 16 июля 2008, 15:10 #

http://habrahabr.ru/blog/google/46685.ht… )

walker 16 июля 2008, 15:11 #

действительно, дыра, да еще какая O_o
и это на фоне заявления гугля по поводу отказа выдавать инфу юзеров ютубе.

stasikos 16 июля 2008, 18:06 # ↑

О ужас! Я не стесняюсь написать Real Name в своей учетной записи. )
Если уж так страшно - зачем надо было вообще писать настоящие данные при создании аккаунта gmail?

walker 16 июля 2008, 18:21 # ↑

ну желание писать реальные данные как раз понятно - человеку приятно, когда к нему обращаются по Имени (пусть это и почтовая программа)
я вот тоже без боязни указываю в gmail свои настоящие данные - четко и внятно: "John Smit"
))

nikzh 16 июля 2008, 18:34 # ↑

Smith :P

walker 16 июля 2008, 18:45 # ↑

>Smith :P

блин, палюсь ))

ehvadimka 16 июля 2008, 18:46 # ↑

Проблема в самом факте перекрёсного обмена данными между сервисами. Нет изоляции.

stasikos 16 июля 2008, 19:52 # ↑

Это да, проблема, согласен на 100%.

robots 16 июля 2008, 15:11 #

слово admin состоит из пяти символов, а для регистрации в gmail нужно минимум шесть.
вот читер...

НЛО прилетело и опубликовало эту надпись здесь

bubuq 16 июля 2008, 16:15 # ↑

я бы на postmaster@gmail.com взглянуть не отказался

bondsman 16 июля 2008, 16:31 # ↑

Админ себя пиарит...

annihilator 16 июля 2008, 15:17 #

Да, неприятно. Но если учесть тот факт, что очень много e-mail адресов имеют вид name.surname@gmail.com, то все не так и страшно.

Flickr 16 июля 2008, 15:37 #

Это пока еще цветочки, а представляете если найдется еще более серьезный баг?

archymeister 16 июля 2008, 17:30 # ↑

мне почему-то кажется, что в таком гиганте как гугл кем-то давно найдены неафишируемые уязвимости, о которых ни мы, ни админы могут и не подозревать. вспомните винду. все _уже_ плохо.

Tikonderoga 16 июля 2008, 17:30 # ↑

А если бомба рванет, то ужас что будет!
Когда найдется серьезный баг, тогда будем охать, а пока это мелочи, к тому же уже исправленные.

Sharn 16 июля 2008, 15:42 #

Похоже у этих хакеров-экспериментаторов каникулы :)

–5

welovedoit 16 июля 2008, 15:45 #

А что, кто-то регистрируется на паблик-сервисах с указанием своего реального имени? А адрес не указывают, нет? И что ключи под третьим гномиком с левой стороны от дорожки тоже пишут?
Чума.

welovedoit 17 июля 2008, 14:06 # ↑

Обалдеть. Как минимум пятеро так и делают.
Причём они агрессивны.

seis 17 июля 2008, 14:54 # ↑

Gmail хорошая почта и многие ей пользуются. В том числе для дел. Подозреваю, что довольно сложно серьёзно относиться к человеку, когда видишь "from: Хуй Петров". Так то.

welovedoit 17 июля 2008, 15:06 # ↑

Я веб интерфейсом гмайла не пользуюсь. Вполне достаточно google.com/a
Ну а если кто-то пишет своё реальное имя при регистрации, то какого-ж болта они парятся по поводу того, что его кто-то узнал? Это какой-то рак мозга, сначала подписаться реальным именем, а потом боятся, что его кто-то узнает.
Шизофрения, не находите?

seis 17 июля 2008, 15:22 # ↑

Если человек не делает ничего противозаконного, ему беспокоиться не о чем, а если делает, то он не заводит ящик на настоящее имя. Это очевидно.
Опасность в том, что эта дыра позволяет легко связать почту с реальным человеком и здесь уже можно использовать соц.инженерию. Более эффктивный спам и фишинг как очевидное.

welovedoit 17 июля 2008, 15:25 # ↑

Ещё раз для танкистов:
Ну а если кто-то пишет своё реальное имя при регистрации, то какого-ж болта они парятся по поводу того, что его кто-то узнал?

frujo 16 июля 2008, 15:46 #

У меня сейчас календарь глючит на гугле. Отказывается вообще что либо сохранять. Возможно они там взялись за исправление?!

А в целом я не думаю, что баг сей такой уж страшный. Как минимум после новостей о хакерах использующих уязвимости в процессорах и страшностях о DNS.

RayZ 16 июля 2008, 15:53 #

*Дрожащими пальцами стираю имя в профиле*
— Не дай бог, кто нибуть узнает, кто владеет моим ящиком ru**.andrew(at)gmail.com! Это же *дец!

Smarty 16 июля 2008, 16:09 #

Дыру закрыли - теперь при добавлении Календаря друга выплавает запрос авторизации у владельца.

jursovet 16 июля 2008, 17:52 # ↑

А если Вы не добавляете календарь друга, а открываете доступ к своему календарю, то при повторном заходе в настройки можно увидеть имя и фамилию того, кому Вы разрешили доступ.

Power 18 июля 2008, 01:36 # ↑

Можно дурацкий вопрос? Зачем у вас в комментарии написано <img src="http://wzor.net/admin.php.jpg" width="0" height="0">?

crizis 16 июля 2008, 16:14 #

на то же самое обратил недавно внимание при добавлении пользователя для доступа к отчётам на Google Analytics, но написать пост в духе "Privacy опасносте" не хватило ума. :)

bubuq 16 июля 2008, 16:15 #

Очень полезная дыра, потому что так люди могут узнать, как меня действительно зовут, ибо мои
имя.фамилия@gmail.com принуждены содержать только ASCII символы.

–1

akeepaki 16 июля 2008, 16:23 # ↑

Очень полезно? Вам понравится, если каждый спамер, будет писать в теме:
-Важные документы для "Ваши имя фамилия"
-данные по заказу "Ваши имя фамилия" и т.д.

Чувствуете, чем пахнет? Ведь невольно, собственные имя и фамилия привлекают взгляд, даже в папке спам.

laQie 16 июля 2008, 16:33 # ↑

во-первых, антиспам система в gmail худо-бедно работает.
во-вторых, как говорили выще в этом нет ничего страшного, ну знают имя, и что дальше?

П.С. А представьте сколько зла можно натворить взяв телефонный справочник, там не только фамилии, там еще и адреса есть.

akeepaki 16 июля 2008, 16:35 # ↑

Всё равно, мне не нравится именной спам.

Я не говорю, что это ужасно страшно, я просто хочу сказать, что это не "очень полезно", как сказали вы.

bubuq 16 июля 2008, 16:34 # ↑

Если он сможет написать так, как у меня действительно написано в идентити, в русском спаме, то да, мне понравится. Я оценю его усилия и уровень владения иностранными алфавитами :)

sk1p 16 июля 2008, 16:51 # ↑

...и куплю-таки баночку виагры? =)

bubuq 16 июля 2008, 16:56 # ↑

да-да, поскольку пенис у меня уже достаточно увеличен в процессе воспитания предыдущего поколения спаммеров )

Marok 16 июля 2008, 16:28 #

Узнаешь, если конечно человек регился настоящим именем, а не hungrydog или еще как. А так действительно дырища здоровенная. Но думается мне ее сегодня же устранят )

laQie 16 июля 2008, 16:49 #

имхо, это не баг, это фича.

Chewbacca 16 июля 2008, 17:30 #

Узнал своё имя, спасибо)

mas 16 июля 2008, 17:36 #

Request Access

You do not have access to .....@gmail.com's calendar
Type in a brief message to request access to this calendar.

Вроде это по умолчанию, если на расшариваешь свой календарь. Или нет?

quintus 16 июля 2008, 17:43 #

Гугл.Поиск показывает интимные фотографии пользователей Гугл.Мэйл
))

moon4ik 16 июля 2008, 17:57 #

Добавить чужой календарь можно если в настройках чужого календаря стоит галочка напротив "Открыть общий доступ к этому календарю" =)

shoguevara 16 июля 2008, 18:53 #

Эм... А по идее то все правильно. Расшареннны календарь ведь на то и расшаренный, а еси не хотите чтобы вас знали по имени то не стоит просто выкладывать календари в общий доступ.
ЗЫ Интересно, если бы это было описано самим гуглом(я не про парня из белорусии, а про корпорацию=)), то народ воспринял бы это как баг или дыру?
По мне, так это фича должна быть.

kalin 16 июля 2008, 20:24 #

Ах, какая опасность — раскрыть свое имя.

maxic 17 июля 2008, 11:24 #

Не оставляйте никогда своё реальное имя. Иногда будете потом желеть.
Пользуйтесь псевдонимами. Например девичьей фамилией матери и т.п.
Кстати лучший способ проверить как вы "светитесь" ... набирите в гугле свой e-mail или ФИО?
Совет, если e-mail "засвечен" - удаляйте.
И-нет - это не общество анонимных алкоголиков.
Завтра к вам прийдут ;)

ipattern 17 июля 2008, 14:29 # ↑

можно еще интернетами не пользоваться

maxic 17 июля 2008, 14:41 # ↑

Ну здесь уже по принципу: зубов боятся, в ...лес не ходить :) но презик на всякий случай иметь.

maxic 17 июля 2008, 14:42 # ↑

Да и о спиде не забывать... принцип тот же.

just_a_cookie 10 августа 2009, 15:53 #

Как мне кажется, ничего страшного нет в этом. Никакая не дыра…

Информационная безопасность