Néhány hete mi is hírt adtunk róla, hogy a Google a 2021 óta működő BIMI-rendszer (Brand Indicators for Message Identification) kibővítésével egy új hitelesítési jelvényt vezetett be a Gmailben, amelynek segítségével könnyedén azonosíthatjuk, hogy valóban egy cég vagy szervezet valós e-mail címéről kaptunk üzenetet, és nem csalókkal van dolgunk.
Legalábbis így szól az elmélet, a gyakorlatban viszont a kiberbűnözők máris visszaélnek a kék alapon fehér pipát formázó jelvénnyel, a Google pedig megpróbált tudomást sem venni az ügyről, amiből persze jókora felháborodás kerekedett.
A biztonsági szakértő Chris Plummer a Twitteren számolt be róla, hogy egy sérülékenység miatt csalók is szert tehetnek a hitelesítési jelvényekre. Ennek bizonyítására egy fotót osztott meg, amelyen egy elkövető a UPS csomagküldő szolgálat hivatalos fiókjának adta ki magát. A leírásból kiderül, hogy Plummer a posztolás előtt értesítette magát a Google-t is, ám a vállalat azzal rázta le, hogy nem javítják ki a dolgot, mivel ez "tervezett viselkedés" a hitelesítési rendszer részéről.
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix - intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— plum (@chrisplummer) June 1, 2023
A tweetet viszont végül több mint százezren látták, ami már elég volt ahhoz, hogy jobb belátásra bírja a felháborodott kommentároktól megriadt keresőóriást. Egy későbbi bejegyzésben a szakértő közölte, hogy a Google felvette vele a kapcsolatot, és elnézést az elutasító válaszért. A cég most azt ígéri, hogy kivizsgálja az esetet, mi pedig mindenkinek azt tanácsoljuk, hogy a hiba megoldásáig ne bízzatok a Gmail pipáiban.
