Gaia Bottà

Ruba la password a migliaia di utenti Gmail

G-Archiver prometteva un backup completo della corrispondenza scambiata attraverso Gmail. Funzione aggiuntiva ma non richiesta: username e password di ciascun utente venivano recapitate allo sviluppatore

Roma - G-Archiver è destinato agli utenti Gmail attenti alla propria corrispondenza: in vendita dallo scorso anno permette loro di archiviarla, assicurarla e proteggerla sul disco fisso. Quel che l'utente scopre solo ora è che G-Archiver ha succhiato le sue username e password Gmail e le ha diligentemente inviate all'autore del codice.

G-ArchiverA smascherare la truffa è stato lo sviluppatore Dustin Brooks: era alla ricerca di un tool che gli consentisse di mettere al sicuro parte della propria corrispondenza accumulata negli anni. G-Archiver, shareware destinato agli utenti Windows, sembrava rispondere a queste esigenze. Brooks lo ha provato e ha deciso di sbirciare nel codice. Orrore e raccapriccio: John Terry, ritenuto l'autore di G-Archiver, aveva inserito nel codice sorgente il proprio indirizzo email e la propria password, affinché G-Archiver gli recapitasse email e password di chiunque utilizzasse il software.

Brooks ne ha avuto conferma accedendo alla casella email che compariva nel codice: erano 1777 i messaggi ad oggetto account nei quali erano contenute le credenziali di tutti coloro che avevano utilizzato G-Archiver. L'ultimo in ordine di arrivo era proprio quello che mostrava i dettagli del suo indirizzo email. Tempestivamente ha modificato la password della casella, ha eliminato tutti i messaggi recapitati da G-Archiver, ha segnalato a Google il problema e ha reso pubblico quanto scoperto.
La rete è in subbuglio: blogger, giornalisti ed altri ripercorrono articoli e post nella speranza di non aver raccomandato l'uso di G-Archiver, rinfrescano le regole di sicurezza e rinnovano i moniti a non sparpagliare i propri dati. Si parla di etica della programmazione e della fiducia cieca e malriposta con cui gli utenti fruiscono delle applicazioni.

Spyware freeC'è anche chi sottolinea come gli effetti della fuga di dati personali possano risultare anche più gravi di quanto stimato: gli account Google non danno certo accesso alla sola corrispondenza. Qualora gli utenti non decidano di implementare più stringenti misure di sicurezza, c'è un'unica password a proteggere tracciati delle sessioni online, materiale prezioso da rivendere agli inserzionisti, ma anche documenti potenzialmente riservati che aziende e individui preferiscono elaborare condividere e conservare in rete.

Nel contempo, Russ Mate, a capo dell'azienda che ha prodotto il software, si è dichiarato sconvolto, ha promesso di indagare sull'accaduto e di rimuovere qualsiasi link al download del prodotto. G-Archiver non si può scaricare né acquistare dalla pagina ufficiale, ma sono ancora innumerevoli i siti che ne raccomandano l'acquisto. C'è addirittura chi assicura che G-Archiver, testato dai competenti membri dello staff, sia spyware free.

Gaia Bottà
147 Commenti alla Notizia Ruba la password a migliaia di utenti Gmail
Ordina
  • se le email corrispondono al numero di persone che hanno usato il programma allora non c'era bisogno di scrivere un articolo su un software cosi' insignificante, ci sono centinaia di piccoli shareware o freeware su downloads.com che probabilmente sono stati creati solo per carpire i dati personali degli utenti, ma fin che sono praticamente sconosciuti come questo g-archiver chi se ne frega, mica vorrete fare un articolo su ogni programma contenente spyware o mailware?
    non+autenticato
  • non hai tutti i torti, anzi...

    però ritengo che un articolo del genere pubblicato ad intervalli regolari possa consentire agli ut(e|o)nti di acquisire un po' di consapevolezza.

    magari la prossima volta qualcuno farà più attenzione a quello che installa...

    certo, in questa notizia si poteva infilare il nome Google senza andare OT, quindi si corre a pubblicarloA bocca aperta
  • G-Archiver fa il backup delle email?
    Ma questo significa che le scarica sul computer?
    Ma quindi è un client di posta?
    E come mai allora non usare thunderbird?
    Ma cosa puo' spingere una persona sana di mente ad usare una porcheria shareware (closed source, quindi neanche free!) per gestire la proria posta? Se un utente non si assicura degli struemnti che usa, forse non gli iteressa piu di tanto.
    non+autenticato
  • Secondo me non è tanto l'ignoranza delle norme di sicurezza informativa. E' proprio una cultura che sottovaluta i rischi, almeno in materia di tutela personale, a meno di non essere dei SysAdmin o appassionati di security.
    Un po' come chi usa un antivirus crackato; e sono TANTI!
    Personalmente, sono molto molto prudente in materia di sicurezza del mio pc, ma ad esempio la mia wireless usa WEP, anche se so che non è il massimo. Motivo? "Tanto chi mi verrà mai a bucare la rete?"
    non+autenticato
  • Letta questa notizia, sono corso a scaricare G-Archiver per verificare di persona la presenza nel codice di user e pwd, e in effetti è proprio così. Ma la cosa davvero divertente è che qualcuno prima di me ha provveduto a loggarsi nell'account modificando la pwd dello sfortunato programmatore, modificando anche la domanda segreta di recupero pwd in "Why shouldn't I hard code my username and password into my software that sends me everyones personal information??". AHAHAHAHAHA al poveraccio gli sarà venuto un colpo!
    non+autenticato
  • è un software di backup e quindi faceva il suo lavoro fino in fondo, ovvero faceva il backup anche dell'username e della password.

    Sorride

    p.s

    si sono inventati una scusa davvero patetica

    http://altagradazione.blogspot.com/
    non+autenticato
  • Brooks ne ha avuto conferma accedendo alla casella email che compariva nel codice: erano 1777 i messaggi ad oggetto account nei quali erano contenute le credenziali di tutti coloro che avevano utilizzato G-Archiver. L'ultimo in ordine di arrivo era proprio quello che mostrava i dettagli del suo indirizzo email.

    E come è entrato nella casella? nel codice che spediva c'era pure un commento che riportava "questa è la password della casella che riceve le email"?

    bufalaaaaaaa
  • - Scritto da: shezan74

    > E come è entrato nella casella? nel codice che
    > spediva c'era pure un commento che riportava
    > "questa è la password della casella che riceve le
    > email"?

    Nel codice c'era codificato l'account. Come faceva a spedire altrimenti la posta?
  • Perchè... tu per spedire un email ad un tuo amico gli chiedi la password??
    non+autenticato
  • - Scritto da: Paolo
    > Perchè... tu per spedire un email ad un tuo amico
    > gli chiedi la
    > password??

    i server di Gmail inviano la posta solo se gli dai le credenziali d'accesso.
    Lui si autenticava per spedirsi i dati.
    Poteva usare un smtp qualunque invece di quello di gmail.
    non+autenticato
  • - Scritto da: Erminio Ottone

    > Poteva usare un smtp qualunque invece di quello
    > di
    > gmail.

    No, non poteva perchè non poteva sapere che connessione veniva usata dall'utente e quindi non poteva il programma sapere in anticipo a quale server connettersi. La maggiorparte dei relay di posta permettono infatti di inviare email senza autenticarsi solo agli ip della propria rete. Immettendo invece utente-password corretti sul server smtp di gmail aveva la sicurezza che la posta venisse inviata qualsiasi connessione fosse stata usata.
  • email.it ad esempio non verifica gli ip...
    non+autenticato
  • email.it non è un ISP
  • di più:
    probabilmente si creava un messaggio di posta nella sua casella senza spedirselo davvero, tanto il programma faceva largo uso delle api google mail, a questo punto era facile con semplici chiamate http...
    non+autenticato
  • - Scritto da: Erminio Ottone
    > - Scritto da: Paolo
    > > Perchè... tu per spedire un email ad un tuo
    > amico
    > > gli chiedi la
    > > password??
    >
    > i server di Gmail inviano la posta solo se gli
    > dai le credenziali
    > d'accesso.
    > Lui si autenticava per spedirsi i dati.
    > Poteva usare un smtp qualunque invece di quello
    > di
    > gmail.

    E non poteva autenticarsi con la password che ti aveva appena soffiato?
    non+autenticato
  • - Scritto da: nome e cognome
    > - Scritto da: Erminio Ottone
    > > - Scritto da: Paolo
    > > > Perchè... tu per spedire un email ad un tuo
    > > amico
    > > > gli chiedi la
    > > > password??
    > >
    > > i server di Gmail inviano la posta solo se gli
    > > dai le credenziali
    > > d'accesso.
    > > Lui si autenticava per spedirsi i dati.
    > > Poteva usare un smtp qualunque invece di quello
    > > di
    > > gmail.
    >
    > E non poteva autenticarsi con la password che ti
    > aveva appena
    > soffiato?
    Certo, così l'utente vedeva il messaggio nella posta inviata...
  • > Certo, così l'utente vedeva il messaggio nella
    > posta
    > inviata...

    A parte che a quel punto avrebbe persino potuto cancellarla dalla posta inviata ma comunque è il client a mantenere la casella di posta inviata non il server SMTP.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 15 discussioni)