Theo Theverge, lỗi nói trên đã được nhà nghiên cứu bảo mật Alex Birsan phát hiện, có thể xem tất cả các tính năng được yêu cầu của Google và các lỗi không được vá.
Birsan cho biết, ông có thể truy cập vào thông tin này bằng cách sử dụng một chức năng cho phép nhà nghiên cứu bên ngoài hủy đăng ký danh sách email về các vấn đề cụ thể. Sau khi hủy đăng ký, hệ thống sẽ gửi thông tin chi tiết về lỗi trong câu trả lời cuối cùng.
Nhà nghiên cứu này cũng nhận thấy rằng, nếu ông hủy đăng ký một danh sách cụ thể mà ông chưa bao giờ đăng ký vẫn có thể nhận được các chi tiết về lỗ hổng khác nhau. Birsan đã có thể xem báo cáo lỗ hổng cùng mọi thứ khác trên Issue Tracker.
Cũng theo Birsan, việc khai thác lỗi này cho phép bạn truy cập vào mọi báo cáo về tính dễ bị tổn thương của bất cứ ai gửi tới Google. Tuy nhiên, để khai thác lỗ hổng thì cũng cần thời gian và kỹ năng. Vì vậy, ngay cả khi hacker nắm bắt được các thông tin này thì Google hoàn toàn có khả năng khắc phục vấn đề trước đó.
Google đã vá lỗi của Issue Tracker chỉ vài giờ kể từ khi Birsan thông báo về lỗ hổng. Phát ngôn viên công ty cho biết: “Chúng tôi đánh giá cao báo cáo của Alex và chúng tôi đã vá các lỗi mà ông báo cáo, cũng như các biến thể xung quanh”.
Bình luận (0)