Simone "R00T_ATI" Quatrini, pentester da especialista italiana em segurança AIR Sicurezza, afirma que servidores do Google podem ser utilizados por cibercriminosos para lançar ataques DDoS. Quatrini descobriu que duas páginas vulneráveis - / _ / sharebox / linkpreview / e gadgets / proxy? - podem ser usadas para solicitar qualquer tipo de arquivo, que o Google + vai baixar e mostrar, mesmo se o atacante não estiver logado nesta rede.
Ao realizar muitos pedidos simultaneamente, ele conseguiu fazer a simulação, usando um script shell que ele mesmo escreveu. Nesse procedimento, foi utilizada a largura de banda do Google para comandar um pequeno ataque DDoS contra um servidor que possui.
Quatrini diz que descobriu as falhas que permitem o ataque no dia 10 agosto, e entrou em contato com o centro de segurança do Google para falar sobre o assunto. Porém, dezenove dias se passaram sem que recebesse qualquer resposta do Google. Em virtude disso, ele publicou suas descobertas.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=11530
Mensagem do Sistema