El año pasado, un experto en seguridad llamado Oren Hafif, descubrió que manipulando la dirección URL cuando Gmail te indicaba que un usuario había rechazado la función de cuenta compartida, se podían conseguir más direcciones de correo electrónico. Solo había que cambiar un caracter y automáticamente salía otra dirección.
Obviamente, haciéndolo manualmente este proceso es eterno, y no supone ningún peligro. Pero hace poco, el mismo Oren Hafif, usando DirBuster, un programa de hacking de fuerza bruta, consiguió 37.000 direcciones en un archivo de texto en tal solo dos horas. Después subió el resultado a su blog y colgó el vídeo que podéis ver aquí. Así fue como consiguió 37.000 direcciones de correo electrónico de Gmail.
Podía haber extraído todas las cuentas
El propio Hafif contaba a Wired que podía haber tenido todas las cuentas de Gmail del mundo: “Yo podría haberlo hecho de forma infinita. Existen todas las razones para creer que todas las direcciones de Gmail podrían haber sido extraídas”.
Además, aunque Google detectó que se estaba llevando a cabo un proceso ilegal y lo bloqueó, se volvió a saltar la restricción cambiando otro caracter de la URL. Vamos, un juego de niños.
Está claro que tener todas las direcciones web de Gmail no garantiza el acceso a todas las cuentas ya que para eso existen las contraseñas. Pero teniendo en cuenta lo poco que suelen proteger las cuentas la gran mayoría de usuarios, con contraseñas previsibles, una gran cantidad de estas cuentas podrían haber sido hackeadas fácilmente. Asimismo, hay que decir que la venta de miles de cuentas de correo a empresas de spam puede conllevar un buen dinero para los hackers. Eso sí, hay que decir que Gmail ya ha parcheado el problema, lo que no quita para indicar que el correo de Google debería estar más protegido.
