Username e password nel database anti-phishing di Google

La società di sicurezza Finjan ha pubblicato due giorni fa un articolo che fa luce su un pericoloso quanto imbarazzante problema nella blacklist di siti phishing di Google.
Secondo quanto spiegato da Finjan, l’estensione antiphishing di Google, la quale permette la segnalazione di siti sospetti da parte degli utenti, ha inavvertitamente raccolto e reso pubblici gli id di sessione e alcuni indirizzi email e password.
Ciò è accaduto perchè utenti, non molto esperti, hanno segnalato il sito al database solo dopo essere caduti nella “rete dei pescatori”. E’ chiaro, quindi, che Google è solo responsabile di non aver controllato che le url inserite nel database non contenessero le username e password di ignari utenti.

Google, dopo la segnalazione di Finjan a Gennaio, ha provveduto ad eliminare (non poteva togliere la query string?) dal proprio database antiphishing tutti gli URL contenenti dati che potevano essere utilizati per scopi non leciti.
E’ stata anche rilasciata una nuova versione della toolbar in grado di togliere dall’url eventuali query string.

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento