« Cela aurait pu détruire le flux du système de paiement Google », a déclaré un chercheur en sécurité au Daily Swig
Une faille dans Google Groups a rapporté 3 133 $ à un chercheur en sécurité après avoir découvert que la fonction de désabonnement pouvait être utilisée de manière abusive pour supprimer des membres sans leur consentement.
Depuis plus de 20 ans, Google Groupes permet aux utilisateurs de créer des groupes de discussion avec un identifiant de messagerie commun pour les membres. Grâce à ce service, les membres du groupe peuvent envoyer un seul e-mail qui seront ensuite publiés dans le chat de groupe.
Les membres peuvent se désabonner automatiquement du groupe en envoyant un e-mail à, par exemple, « test_groups_one+unsubscribe@googlegroups.com ».
A NE PAS MANQUER Un bogue de sécurité Coinbase à couper le souffle a permis aux utilisateurs de voler une crypto-monnaie illimitée
Cependant, Sriram Kesavan, fondateur et directeur de la sécurité chez TG Cyberlabs basé en Inde, a découvert qu’il était possible de tromper le système en supprimant les membres de Google Groups à volonté, à leur insu.
Sa technique consistait à envoyer un e-mail au groupe et à utiliser la fonction « répondre à », commune à la plupart des services de messagerie, afin que toute réponse soit envoyée à l’adresse e-mail de désabonnement et que le membre soit automatiquement supprimé.
Suppression furtive
L’utilisation du transfert automatique a permis à Kesavan de rendre le processus de suppression de groupe invisible pour l’utilisateur concerné.
Kesavan dit qu’il a pu utiliser la technique pour supprimer des utilisateurs d’un groupe Google qu’il a créé au sein de sa propre entreprise – et que Google utilise lui-même le service comme système de suivi de Google Payment.
En savoir plus sur les dernières nouvelles sur le piratage du monde entier
« J’aurais pu littéralement supprimer des employés de Google sur plusieurs groupes officiels, même si je n’y ai pas accès », raconte-t-il. La gorgée quotidienne.
« Cela aurait pu littéralement détruire le flux du système de paiement Google et entraîner des retards dans leurs paiements internes. »
Prime de bogue rétrospective
Lorsque Kesavan a signalé le problème à Google, il a d’abord été rejeté comme « comportement intentionnel ». Avec permission, il a ensuite soumis une rédaction complètequi lui a valu une récompense de 3 133,70 $.
« Au départ, la personne qui s’occupait de mon rapport n’avait pas reçu suffisamment d’informations de ma part pour décider et finaliser le problème en tant que problème de sécurité valable », dit-il.
« Plus tard, lorsque j’ai décidé d’envoyer un article contenant toutes les informations, ils ont réalisé l’impact de ce problème et l’équipe a décidé de corriger ce problème dès que possible. Un correctif simple et rapide a donc été appliqué afin d’empêcher les utilisateurs de l’exploiter. .”
Un porte-parole de Google a déclaré que la société n’était pas en mesure de commenter.
VOUS POURRIEZ AUSSI AIMER Le clone AirTag a contourné les fonctionnalités de protection contre le suivi d’Apple, affirme un chercheur
