Um bug recém-descoberto no Gmail pelo pesquisador de segurança Oren Hafif pode ter exposto o endereço de e-mail de praticamente todos os usuários do serviço.  De acordo com o Wired, Hafif disse que o bug poderia ter sido usado para extrair milhões de endereços, se não todos eles, em questão de dias ou semanas.

Ainda de acordo com Oren, o problema não conseguiria expor senhas ou permitir um fácil acesso às contas, mas poderia ter deixado os usuários vulneráveis a spam, phishing e ataques de força bruta para descobrir senhas.

Em novembro do ano passado, Hafif descobriu ser possível ajustar a URL da página exibida quando um usuário é recusado ao delegar acesso à conta de outro usuário. Mudando um caractere na URL, a página mostrou que o acesso a um endereço diferente tinha sido recusado. Ao automatizar as mudanças de caracteres com um software chamado DirBuster, ele foi capaz de coletar 37 mil endereços do Gmail em cerca de duas horas.

A vulnerabilidade poderia não ter afetado apenas os usuários pessoais do Gmail, afirma Hafif. Um hacker também poderia ter usado a falha para coletar endereços de todas as empresas que usam o serviço para hospedar seus e-mails, incluindo o próprio Google.

Um porta-voz do companhia confirmou ao Wired que a empresa corrigiu a falha descoberta por Oren e pagou-lhe uma recompensa por sua ajuda, mas recusou-se a responder comentários adicionais.

Assista abaixo ao vídeo explicando como o bug funcionava:

//www.youtube.com/embed/bMmp-mx_03Q