流行的google郵件服務(wù)——gmail——已經(jīng)被曝光出現(xiàn)了一個(gè)重大的安全漏洞,，并且可導(dǎo)致黑客能夠提取谷歌數(shù)據(jù)庫(kù)中每一個(gè)用戶(hù)的郵件地址,。其實(shí)早在去年的時(shí)候，一名“滲透”方面的安全專(zhuān)家——orenhafif——就已經(jīng)發(fā)現(xiàn)了這點(diǎn),，并且證實(shí)可以在編輯gmail“rejectionconfirmed”頁(yè)面的時(shí)候,，操縱冷僻的“賬戶(hù)分享”功能。

　　當(dāng)拒絕訪問(wèn)一個(gè)共享賬戶(hù),，并改動(dòng)頁(yè)面url中的1個(gè)字符之后,，hafif發(fā)現(xiàn)自己可以讓頁(yè)面告訴他“已被拒絕進(jìn)入另一個(gè)郵件地址”。

　　通過(guò)使用一款名叫“dirbuster”的黑客暴力程序,，hafif將改動(dòng)字符的流程變成了自動(dòng)式的,。在隨后的2個(gè)小時(shí)內(nèi)，他順利地將37000個(gè)gmail地址保存到了一個(gè)文本文件中,。

　　由此看來(lái),，這種方法確實(shí)可以提取出個(gè)人的郵件地址。鑒于這個(gè)問(wèn)題長(zhǎng)期未能得到修復(fù),，hafif已于本周二發(fā)表了一篇博文和視頻,，并且知會(huì)了wired：

　　“其實(shí)我可以把提取的工作不停地做下去。我有充分的理由相信,，每一個(gè)gmail都有可能已經(jīng)被別有用心的人‘開(kāi)采’過(guò)了”,。

　　hafif表示，這項(xiàng)技術(shù)可能被用于查看google郵件托管服務(wù)上任何人的郵件地址,。在他測(cè)試的某一時(shí)刻,，google探測(cè)到了他的舉動(dòng)，并且組織了他的訪問(wèn),。

　　不過(guò)hafif只需簡(jiǎn)單地修改url中的另一個(gè)字符,，就可以把這個(gè)流程繼續(xù)進(jìn)行下去了。

　　當(dāng)然,，盡管單獨(dú)的郵件地址尚不能用于直接的賬戶(hù)訪問(wèn),，但是成千上萬(wàn)的名單可能會(huì)被出售給垃圾郵件發(fā)送者或網(wǎng)絡(luò)釣魚(yú)者牟利。

　　最后,，值得慶幸的是,，很多人或許從來(lái)不知道這個(gè)漏洞曾經(jīng)存在過(guò),，因?yàn)間oogle已經(jīng)把這個(gè)漏洞補(bǔ)上了。