Lue uutinen mobiilisivustolla

Gmailin varmuuskopioija lähettää salasanat tekijälleen

Roskapostittajien on myös epäilty murtaneen Gmailin rekisteröitymisessä käytetyn captcha-tunnistuksen.
Kuva: Ruutukaappaus

11.3.2008 13:41 Maksullinen ohjelma, joka ottaa varmuuskopiot käyttäjän Google Gmail -sähköposteista, tekee paljon muutakin. Kerättyään käyttäjien Gmail-tunnukset ja -salasanat, se lähettää ne tekijälleen.

Asiasta kertoi ensimmäisenä Coding Horror -verkkosivusto. Sen ylläpitäjä sai G-Archiveria tutkineelta Dustin Brooksilta sähköpostia, jossa ohjelman todellinen luonne tehtiin selväksi.

G-Archiverin on ilmeisesti tehnyt henkilö nimeltä John Terry. Jostain syystä hän oli lisännyt oman Gmailin käyttäjätunnuksensa ja salasanansa lähdekoodiin. Tämä on omituista, mutta törkeää on se, että ohjelma lisäksi lähettää käyttäjien tunnukset ja salasanat tekijälleen joka kerta, kun sähköpostitili lisätään G-Archiveriin varmuuskopiointia varten.

Brooks käytti lähdekoodissa olleita Terryn tunnuksia ja pääsi hänen tililleen huomaten siellä valtavasti sähköposteja, jotka sisälsivät eri käyttäjien tiedot. Hän päätti tuhota postit ja vaihtaa Terryn tilin salasanan. Hän tosin saattoi tuhota samalla tärkeää todistusaineistoa.

G-Archiverin julkaisija on MateMedia, ja softan kotisivuilla olevassa tiedotteessa sanotaan, että kyseessä on erehdys. Valmiiseen ohjelmaan lipsahti testauksessa käytettyä koodia, ja virhe on mahdollisesti paljastanut käyttäjätunnuksia ja salasanoja. Tiedotteessa kehotetaan käyttäjiä vaihtamaan salasanansa.

Tämä ei kuitenkaan selitä, miksi ohjelmaan alunperinkään koodattiin tunnukset ja salasanat lähettävä ominaisuus. Missään vaiheessa ohjelma ei informoi käyttäjää tästä asiasta.

Gmailin tietoturva kyseenalaistui vähän aikaa sitten, kun Websense Security Labs väitti roskapostittajien murtaneen palvelun captcha-tunnistuksen.

Tuomas Linnake
tuomas.linnake@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentoi

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti

Bottivarmistus: mitä on seitsemän ynnä neljä?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.