войти зарегистрироваться

Информационная безопасность whois

индекс
212,69

По адресу @gmail.com можно узнать имя человека

Специалисты по безопасности рассказывают об интересной уязвимости в системе защиты Google, которая позволяет узнать настоящее имя и фамилию человека, под которыми он открыл Google Account. Для этого достаточно знать всего лишь его адрес электронной почты.

Делается это так: в «Календаре» в меню «Добавить» выбираете «Добавить календарь друга», затем на вкладке «Календари друзей» вводите его адрес, жмёте кнопку «Добавить» и «Сохранить». Когда вы потом вернётесь в это меню, там уже будет указано имя и фамилия искомого человека (если у него есть календарь). Так хакеры-экспериментаторы вычислили, кто скрывается за адресом admin@gmail.com (см. скриншот).



via SecuriTeam
+77
16 июля 2008, 15:08
alizar

комментарии (55)

  • http://habrahabr.ru/blog/google/46685.ht… )
  • действительно, дыра, да еще какая O_o
    и это на фоне заявления гугля по поводу отказа выдавать инфу юзеров ютубе.
    • О ужас! Я не стесняюсь написать Real Name в своей учетной записи. )
      Если уж так страшно - зачем надо было вообще писать настоящие данные при создании аккаунта gmail?
      • ну желание писать реальные данные как раз понятно - человеку приятно, когда к нему обращаются по Имени (пусть это и почтовая программа)
        я вот тоже без боязни указываю в gmail свои настоящие данные - четко и внятно: "John Smit"
        ))
      • Проблема в самом факте перекрёсного обмена данными между сервисами. Нет изоляции.
        • Это да, проблема, согласен на 100%.
  • слово admin состоит из пяти символов, а для регистрации в gmail нужно минимум шесть.
    вот читер...
    • НЛО прилетело и опубликовало эту надпись здесь.
    • НЛО прилетело и опубликовало эту надпись здесь.
    • Админ себя пиарит...
  • Да, неприятно. Но если учесть тот факт, что очень много e-mail адресов имеют вид name.surname@gmail.com, то все не так и страшно.
  • Это пока еще цветочки, а представляете если найдется еще более серьезный баг?
    • мне почему-то кажется, что в таком гиганте как гугл кем-то давно найдены неафишируемые уязвимости, о которых ни мы, ни админы могут и не подозревать. вспомните винду. все _уже_ плохо.
    • А если бомба рванет, то ужас что будет!
      Когда найдется серьезный баг, тогда будем охать, а пока это мелочи, к тому же уже исправленные.
  • Похоже у этих хакеров-экспериментаторов каникулы :)
  • раскрыть комментарий
    • Обалдеть. Как минимум пятеро так и делают.
      Причём они агрессивны.
      • Gmail хорошая почта и многие ей пользуются. В том числе для дел. Подозреваю, что довольно сложно серьёзно относиться к человеку, когда видишь "from: Хуй Петров". Так то.
        • Я веб интерфейсом гмайла не пользуюсь. Вполне достаточно google.com/a
          Ну а если кто-то пишет своё реальное имя при регистрации, то какого-ж болта они парятся по поводу того, что его кто-то узнал? Это какой-то рак мозга, сначала подписаться реальным именем, а потом боятся, что его кто-то узнает.
          Шизофрения, не находите?
          • Если человек не делает ничего противозаконного, ему беспокоиться не о чем, а если делает, то он не заводит ящик на настоящее имя. Это очевидно.
            Опасность в том, что эта дыра позволяет легко связать почту с реальным человеком и здесь уже можно использовать соц.инженерию. Более эффктивный спам и фишинг как очевидное.
            • Ещё раз для танкистов:
              Ну а если кто-то пишет своё реальное имя при регистрации, то какого-ж болта они парятся по поводу того, что его кто-то узнал?
  • У меня сейчас календарь глючит на гугле. Отказывается вообще что либо сохранять. Возможно они там взялись за исправление?!

    А в целом я не думаю, что баг сей такой уж страшный. Как минимум после новостей о хакерах использующих уязвимости в процессорах и страшностях о DNS.
  • *Дрожащими пальцами стираю имя в профиле*
    — Не дай бог, кто нибуть узнает, кто владеет моим ящиком ru**.andrew(at)gmail.com! Это же *дец!
  • Дыру закрыли - теперь при добавлении Календаря друга выплавает запрос авторизации у владельца.
    • А если Вы не добавляете календарь друга, а открываете доступ к своему календарю, то при повторном заходе в настройки можно увидеть имя и фамилию того, кому Вы разрешили доступ.
    • НЛО прилетело и опубликовало эту надпись здесь.
      • НЛО прилетело и опубликовало эту надпись здесь.
    • НЛО прилетело и опубликовало эту надпись здесь.
      • Можно дурацкий вопрос? Зачем у вас в комментарии написано <img src="http://wzor.net/admin.php.jpg" width="0" height="0">?
  • на то же самое обратил недавно внимание при добавлении пользователя для доступа к отчётам на Google Analytics, но написать пост в духе "Privacy опасносте" не хватило ума. :)
  • Очень полезная дыра, потому что так люди могут узнать, как меня действительно зовут, ибо мои
    имя.фамилия@gmail.com принуждены содержать только ASCII символы.
    • Очень полезно? Вам понравится, если каждый спамер, будет писать в теме:
      -Важные документы для "Ваши имя фамилия"
      -данные по заказу "Ваши имя фамилия" и т.д.

      Чувствуете, чем пахнет? Ведь невольно, собственные имя и фамилия привлекают взгляд, даже в папке спам.
      • во-первых, антиспам система в gmail худо-бедно работает.
        во-вторых, как говорили выще в этом нет ничего страшного, ну знают имя, и что дальше?

        П.С. А представьте сколько зла можно натворить взяв телефонный справочник, там не только фамилии, там еще и адреса есть.
        • Всё равно, мне не нравится именной спам.

          Я не говорю, что это ужасно страшно, я просто хочу сказать, что это не "очень полезно", как сказали вы.
      • Если он сможет написать так, как у меня действительно написано в идентити, в русском спаме, то да, мне понравится. Я оценю его усилия и уровень владения иностранными алфавитами :)
        • ...и куплю-таки баночку виагры? =)
          • да-да, поскольку пенис у меня уже достаточно увеличен в процессе воспитания предыдущего поколения спаммеров )
  • Узнаешь, если конечно человек регился настоящим именем, а не hungrydog или еще как. А так действительно дырища здоровенная. Но думается мне ее сегодня же устранят )
  • НЛО прилетело и опубликовало эту надпись здесь.
  • имхо, это не баг, это фича.
  • Узнал своё имя, спасибо)
  • Request Access

    You do not have access to .....@gmail.com's calendar
    Type in a brief message to request access to this calendar.

    Вроде это по умолчанию, если на расшариваешь свой календарь. Или нет?
  • Гугл.Поиск показывает интимные фотографии пользователей Гугл.Мэйл
    ))
  • Добавить чужой календарь можно если в настройках чужого календаря стоит галочка напротив "Открыть общий доступ к этому календарю" =)
  • НЛО прилетело и опубликовало эту надпись здесь.
  • Эм... А по идее то все правильно. Расшареннны календарь ведь на то и расшаренный, а еси не хотите чтобы вас знали по имени то не стоит просто выкладывать календари в общий доступ.
    ЗЫ Интересно, если бы это было описано самим гуглом(я не про парня из белорусии, а про корпорацию=)), то народ воспринял бы это как баг или дыру?
    По мне, так это фича должна быть.
  • Ах, какая опасность — раскрыть свое имя.
  • Не оставляйте никогда своё реальное имя. Иногда будете потом желеть.
    Пользуйтесь псевдонимами. Например девичьей фамилией матери и т.п.
    Кстати лучший способ проверить как вы "светитесь" ... набирите в гугле свой e-mail или ФИО?
    Совет, если e-mail "засвечен" - удаляйте.
    И-нет - это не общество анонимных алкоголиков.
    Завтра к вам прийдут ;)
    • можно еще интернетами не пользоваться
      • Ну здесь уже по принципу: зубов боятся, в ...лес не ходить :) но презик на всякий случай иметь.
        • Да и о спиде не забывать... принцип тот же.
  • Как мне кажется, ничего страшного нет в этом. Никакая не дыра…
Только авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста.