Un recente advisory pubblicato dalla società Finjan ha portato alla luce una grave quanto imbarazzante breccia nella sicurezza di Safe Browsing , la tecnologia antiphishing inclusa nella celebre Google Toolbar per Firefox.
Secondo quanto spiegato da Finjan, l’estensione antiphishing di Google ha inavvertitamente raccolto e reso pubblici gli indirizzi email e le password di alcuni utenti . Quanto accaduto si spiega con il fatto che gli utenti del software di Google possono segnalare ad una blacklist pubblica l’URL di eventuali siti sospetti: il problema è che alcuni di questi siti inglobano nome utente e password direttamente nell’URL, così quando questo appare nella blacklist i dati degli utenti divengono di dominio pubblico.
Non appena avvertita della debolezza, Google ha provveduto ad eliminare dal proprio database antiphishing tutti gli URL – per fortuna una piccola minoranza – che contenevano dati di autenticazione degli utenti, indirizzi email o token di sessione. BiG ha inoltre rilasciato una nuova versione della propria toolbar capace di eliminare automaticamente dagli URL inviati alla propria blacklist eventuali dati di login.
“Stiamo avvisando tutti gli utenti che hanno involontariamente rivelato informazioni personali di cambiare immediatamente le password compromesse”, ha affermato un portavoce americano di Google.
Finjan, che qui ha pubblicato lo snapshot di un porzione di blacklist contenente le succitate violazioni alla privacy, ha avvisato Google del problema all’inizio di gennaio.