V postupu, jakým Google umožňoval obnovit heslo k uživatelskému účtu, bylo nalezeno několik závažných zranitelností, které dohromady umožňovaly takový phishingový útok, při kterém by se běžný uživatel nechal s vysokou pravděpodobností svést k vepsání nového hesla do formuláře podvrženého útočníkem. Tak prozrazené heslo by se přitom skutečně zároveň nastavilo pro jeho účet u Googlu.
Možný útok složený z několika vyzkoumaných zranitelností (CSRF, XSS) v postupu obnovy hesla popisuje na svém blogu Oren Hafif. Ten zjištěné ještě před zveřejněním předpisově nahlásil Googlu a Google zranitelnosti opravil do deseti dnů. Orenovi vyslovil uznání a předá mu také finanční odměnu.
(Zdroj: Lupa.cz)
