Userbase

Middels een Javascript-lek blijkt het mogelijk te zijn contactpersonen van een Gmail-gebruiker te achterhalen door hen naar een website te lokken. Om de hack succesvol te laten zijn, moet het slachtoffer overigens wel ingelogd zijn bij Gmail.

<img src="http://upload.userbase.be/upload/1165864176.jpg" align="right" width="120" height="47">Het probleem schuilt in het feit dat de gegevens van contactpersonen opgeslagen worden in een Javascript-bestand. Daardoor kunnen kwaadwillenden dit bestand gewoon downloaden en zo de erin opgeslagen adressen achterhalen. Het is niet de eerste keer dat Google zich met een lek in zijn mailapplicatie geconfronteerd ziet; de dienst bevindt zich dan ook - zoals het een Google-applicatie betaamt - nog steeds in de bètafase. Het is overigens opvallend te noemen dat de exploitcode er niet in lijkt te slagen het adres van het slachtoffer zelf te achterhalen. De voorbeeldpagina op de site waar het lek ontdekt en gedemonstreerd werd is inmiddels offline gehaald. Een gebruiker wijst er echter op dat het lek ook bruikbaar zou geweest zijn wanneer het slachtoffer Javascript uitgeschakeld heeft. Inmiddels zou het lek echter wel gedicht zijn.

Bron: Tweakers.net en lees hier meer van 2 januari 2007

Klinkt idd wel erg verontrustend. Maar zo wordt de dienst ook steeds beter. Het is dus maar hoe je ertegenaan kijkt. Gmail is zeker niet de enige dienst waarbij men dit probeert, Yahoo zal (nudat ze hun unlimited hebben gelanceerd) zeker ook wel wat "testend" bezoek krijgen.

Is dit niet al oud nieuws?
Bovendien geloof ik dat het probleem met Java of een java-aplet te maken had.
Was dit trouwens ook al niet gefixed?

Draco888 schreef:Is dit niet al oud nieuws?

yep, is een post van 2 januari 07

Tweakers.net schreef:[....] Inmiddels zou het lek echter wel gedicht zijn.