Nhà nghiên cứu bảo mật Allison Husain là người phát hiện ra lỗ hổng bảo mật trên Gmail mà Google vừa tiến hành khắc phục. Theo Husain, nguyên nhân của vấn đề nằm ở việc Gmail thiếu cơ chế xác minh khi định cấu hình các định tuyến dành cho email.
"Chính sách nghiêm ngặt DMARC/SPF của cả Gmail và G Suite đều có thể bị vượt qua bằng cách sử dụng các quy tắc định tuyến thư của G Suite để chuyển tiếp và cấp tính xác thực cho các email giả mạo", Husain chia sẻ.
Husain phát hiện ra vấn đề từ đầu năm 2020 và báo cáo cho Google vào ngày 3/4/2020. Google đã tiếp nhận vấn đề vào ngày 16/4/2020 nhưng sau đó xác định rằng lỗ hổng này chỉ được ưu tiên ở mức 2, mức độ nghiêm trọng ở mức 2 và sau đó lại đánh dấu nó là một lỗ hổng trùng lặp.
Khi Husain thông báo lại với Google rằng ông sẽ công khai lỗ hổng này vào ngày 17/8, Google cho biết bản vá lỗ đang được phát triển và dự kiến tung ra vào ngày 17/9. Theo quy định của Google, lỗ hổng sẽ được vá trong vòng 90 ngày kể từ khi nó được báo cáo cho Google và sau thời hạn này nhà phát triển có thể công khai lỗ hổng mà họ phát hiện ra. Với trường hợp của Husain, lỗ hổng trên Gmail đã không được vá dù đã được báo cáo 137 ngày trước.
Vì thế, Husain đã quyết định công khai lỗ hổng vào ngày 19/8 để thúc đẩy Google mau chóng có biện pháp bảo vệ người dùng. Hành động dứt khoát của Husain buộc Google phải đưa ra ngay các biện pháp khắc phục.
Trong vòng 7 tiếng kể từ khi Husain đăng tải chi tiết về lỗ hổng, Google đã tung ra bản vá.