Une faille dans Google Groups a rapporté 3 133 $ à un chercheur en sécurité après avoir découvert que la fonction de désabonnement pouvait être utilisée de manière abusive pour supprimer des membres sans leur consentement.

Depuis plus de 20 ans, Google Groupes permet aux utilisateurs de créer des groupes de discussion avec un identifiant de messagerie commun pour les membres. En utilisant ce service, les membres du groupe peuvent envoyer un seul e-mail qui sera ensuite publié dans le chat de groupe.

Les membres peuvent se désinscrire automatiquement du groupe en envoyant un e-mail à, par exemple, « test_groups_one+unsubscribe@googlegroups.com ».

A NE PAS MANQUER Un bogue de sécurité Coinbase à couper le souffle a permis aux utilisateurs de voler une crypto-monnaie illimitée

Cependant, Sriram Kesavan, fondateur et directeur de la sécurité chez TG Cyberlabs basé en Inde, a découvert qu’il était possible de tromper le système en supprimant les membres de Google Groups à volonté, à leur insu.

Sa technique consistait à envoyer un e-mail au groupe et à utiliser la fonction « répondre à », commune à la plupart des services de messagerie, afin que toute réponse soit envoyée à l’adresse e-mail de désabonnement et que le membre soit automatiquement supprimé.

Suppression furtive

L’utilisation du transfert automatique a permis à Kesavan de rendre le processus de suppression de groupe invisible pour l’utilisateur concerné.

Kesavan dit qu’il a pu utiliser la technique pour supprimer des utilisateurs d’un groupe Google qu’il a créé au sein de sa propre entreprise – et que Google lui-même utilise le service comme système de suivi de Google Payment.

« J’aurais pu littéralement supprimer des employés de Google sur plusieurs groupes officiels, même si je n’y ai pas accès », raconte-t-il. La gorgée quotidienne.

« Cela aurait pu littéralement détruire le flux du système de paiement Google et entraîner des retards dans leurs paiements internes. »

Prime de bogue rétrospective

Lorsque Kesavan a signalé le problème à Google, il a d’abord été rejeté comme « comportement intentionnel ». Avec permission, il a ensuite soumis une rédaction complètequi lui a valu une récompense de 3 133,70 $.

« Au départ, la personne qui s’occupait de mon rapport n’avait pas reçu suffisamment d’informations de ma part pour décider et finaliser le problème en tant que problème de sécurité valable », dit-il.

« Plus tard, lorsque j’ai décidé d’envoyer un article contenant toutes les informations, ils ont réalisé l’impact de ce problème et l’équipe a décidé de corriger ce problème dès que possible. Un correctif simple et rapide a donc été appliqué afin d’empêcher les utilisateurs de l’exploiter. .”

Un porte-parole de Google a déclaré que la société n’était pas en mesure de commenter.