Gmail 安全漏洞可能讓駭客竊取郵箱資料

研究人員Petko Petkov在本周指出，Gmail含有跨站假請求（Cross-Site Request Forgery，CSRF）漏洞，可讓駭客竊取使用Gmail資料。

所謂的CSRF漏洞是當使用者已登入一個合法網站，但卻同時連上惡意網站時，駭客可在使用者所登入的合法網站上執行程式，該漏洞使得網站可正常執行惡意指令。

Petko Petkov並未公布漏洞細節，但在網站上展示駭客可以利用該漏洞製造一過濾裝置，不需使用者帳號、密碼，就可將符合特定描述的所有電子郵件轉寄到其他信箱。這意謂著駭客可以完全掌控使用者Gmail的資料。

他指出，已有許多人驗證過該漏洞，但呼籲找到該漏洞的人不要釋出細節，好讓Google有修補的機會。

Whitehat Security創辦人暨執行長Jeremiah Grossman認為，網路電子信箱（web mail）帳號比銀行帳號更有價值，因為Web Mail儲存許多線上帳號，包括部落格、銀行，及購物等。（編譯/陳曉莉）