Aggiornato il: 01-03-2019 06:28
Sulla celebre mailing list dedicata alla sicurezza informatica (seclists.org) è stata notificata una potenziale falla di privacy relativa agli account Gmail: un utente indiscreto potrebbe, conoscendo un indirizzo email, risalire al profilo Google Plus della vittima. Se quest’ultimo contenesse informazioni riservate (come indirizzo o numero di telefono), di fatto la procedura di recupero della password potrebbe essere usata indebitamente per ricavare tali informazioni.
Il rischio avverrebbe mediante l’ordinaria procedura di recupero password, che linkerebbe automaticamente dall’indirizzo email il profilo Google Plus corrispondente. Il problema si pone in particolare per gli utenti che non utilizzino Google Plus attivamente, che quindi non sono consapevoli del potenziale rischio per la privacy. Tuttavia, come suggerito da Google stessa, tale tipologia di rischi non andrebbero annoverati come veri e propri rischi di sicurezza. Resta da notare come ricavare questo genere di informazioni possa comunque essere, in prospettiva (e specialmente in caso di attacchi mirati) un primo passo verso successivi leak o furti di dati personali.
La procedura dovrebbe essere possibile solo manualmente in quanto protetta da scripting mediante reCAPTCHA, ma non si possono escludere possibili ripercussioni in futuro.
