Эксперты по вопросам информационной безопасности из компании Information Security Research Team (InSeRT) сообщили об обнаружении в популярной почтовой системе Gmail уязвимости, которая превращает серверы, обслуживающие email-трафик, в рассыльщиков спама. Обнаруженная брешь позволяет реализовать классическую атаку типа man-in-the-middle, которая предоставляет потенциальному спамеру возможность рассылать тысячи электронных сообщений через SMTP-серверы Google без риска быть обнаруженным.

"Данный метод позволяет обходить как систему обнаружения мошенничества, так и существующий лимит на 500 адресов в случае множественной отправки писем. В теории уязвимость позволяет рассылать сколь угодно много писем", — говорят в InSeRT.

Как пояснили в компании, уязвимость кроется в возможности атакующего обходить белые/черные списки почтовых фильтров, отправляя сообщения SMTP-серверам напрямую. На сегодня система почтовой ретрасляции Google работает открыто, но для того, чтобы пропустить сообщения через нее, необходимо, чтобы оно (сообщение) прошло систему верификации.

"Тестовый эксплоит позволит нам позволил с одного аккаунта за раз разослать до 4000 почтовых сообщений, что в 8 раз больше официального лимита", — говорят исследователи.