據(jù)美國《連線》雜志6月11日?qǐng)?bào)道，谷歌旗下在全球廣為使用的郵箱服務(wù)Gmail日前曝出一項(xiàng)漏洞，該漏洞使得任何人均可大量獲取Gmail郵箱賬號(hào)信息，以達(dá)到發(fā)布垃圾郵件甚至是盜取密碼的目的。據(jù)悉，該漏洞可能已經(jīng)存在數(shù)年之久。

　　該漏洞由Oren Hafif發(fā)現(xiàn)，這位來自以色列某安全公司的員工此前曾發(fā)現(xiàn)過Gmail多項(xiàng)漏洞。Hafif稱，通過利用本次發(fā)現(xiàn)的漏洞，在數(shù)日或數(shù)周內(nèi)即可獲取數(shù)量相當(dāng)巨大的Gmail郵箱賬戶。盡管這一漏洞并不能直接竊取賬戶密碼或是登陸賬戶，但是卻可能會(huì)使用戶面臨垃圾郵件、網(wǎng)絡(luò)釣魚或是密碼被盜等風(fēng)險(xiǎn)。

　　該漏洞得以利用的原因在于Gmail有一項(xiàng)少有人知的賬戶合用功能，即允許用戶可以“委托”其他用戶登錄自己的賬戶。去年11月，Hafif發(fā)現(xiàn)，當(dāng)試圖通過“委托”功能登錄他人賬戶時(shí)，只需對(duì)跳出的網(wǎng)頁地址做一點(diǎn)修改，即可獲得一個(gè)其他用戶的郵箱地址。通過自動(dòng)修改網(wǎng)頁地址軟件的幫助，Hafif曾在兩小時(shí)內(nèi)收集了3萬7千個(gè)Gmail郵箱地址。對(duì)此，Hafif表示，其有充分的理由相信，可能所有的Gmail郵箱賬戶都已經(jīng)被收集。此外他強(qiáng)調(diào)，該漏洞影響的不僅是個(gè)人郵箱，使用Gmail郵箱的企業(yè)用戶，甚至包括谷歌自己，均會(huì)受到波及。

　　Hafif表示，谷歌并沒有使用cookie或是其他認(rèn)證形式以顯示易受到攻擊的頁面，因此只需使用匿名軟件，即可大量獲取用戶賬戶信息且不會(huì)被察覺。Hafif稱，由于Gmail自2010年起開始具有“委托”功能，因此該漏洞可能已經(jīng)存在數(shù)年之久。至于有多少賬戶信息已經(jīng)被偷偷收集則不得而知。

　　谷歌發(fā)言人在接受采訪時(shí)表示，目前已成功修復(fù)該漏洞。