谷歌可能允许执法部门阅读所有 Gmail 邮件

在最近的 Opnsec 博客文章中,安全研究员 Eng​​uerran Gillier 在寻找漏洞的活动中发现了一个 SSRF 漏洞。 这一弱点使 Enguerran 能够访问被称为“Borg”的谷歌最内部的工作,这是谷歌内部网络基础设施的名称。 通过对这种访问级别的调查,测试人员能够识别出在 Gmail 网络上具有特定权限的用户,这暗示执法部门可能不仅可以阅读所有 Gmail 邮件,还可以通过发送或接收来冒充用户以他们的名义发送电子邮件。

在到达 10.xx201 地址上的节点后,Enguerran 浏览了用户列表及其相应的权限。 他在那里发现的并不完全是他所期望的。 他找到了“主”Gmail 系统用户,简称为“[email protected]”,但他也遇到了另一个用户:[email protected],其权限为“auth.impersonation” .impersonateNormalUser”在数据库“mdb:all-person-users”上。 虽然我们显然不是 Google 用户和功能命名约定方面的专家,但这似乎在很大程度上暗示了与法律相关的主帐户可能有能力在整个系统中读取和模拟任何给定的 Gmail 用户。

幕后故事

虽然谷歌在刑事案件中帮助执法部门并不奇怪——他们承认这样做,并且在法律上要求这样做——但这一新发现更令人担忧,因为它暗示了一些超出简单读取访问权限的东西。 如果我们从表面上理解权限的名称,则意味着执法部门可以代表任何 Gmail 用户拦截和发送电子邮件。 这意味着 Gmail 用户永远无法真正确定他们的电子邮件的完整性是否得到了保护。

这对普通互联网用户意味着什么? 这意味着,如果您不确定您的数据在 Google 平台上是否不安全,那么您现在应该确信这一点。 但是随着 Gmail 的流行和流行,什么是安全的替代方案?

注重隐私的用户最好考虑使用安全的匿名电子邮件平台,例如基于区块链的多种电子邮件平台。 此功能允许用户保持完全匿名且不与任何类型的帐户关联,同时通过加密确保其消息的安全性,并通过区块链哈希验证确保消息的完整性。 这些服务通常是免费的或非常低成本的,但如果您选择付费版本,请准备好用比特币或其他类型的加密货币支付。 Thunderbird 是另一种解决方案。 Thunderbird 由支持隐私的巨头 Mozilla 生产,类似于 Gmail 或其他传统的基于 Web 的电子邮件平台,但内置加密和隐私功能以保护您的数据,甚至针对 Mozilla 本身。

总之,Gmail 运营的这一新见解引起了在线隐私社区的高度关注,并为他们呼吁迁移到更安全的替代方案提供了可信度。 鼓励读者认真对待他们的在线隐私,并考虑切换到将用户的安全和隐私置于企业贪婪之上的电子邮件平台。