Ο μαθηματικός Zachary Harris, έλαβε ένα περίεργο e-mail, το οποίο του πρόσφερε μια θέση εργασίας στη Google.
Ο ίδιος ήταν σκεπτικός, καθώς δεν θεωρούσε τον εαυτό του ως υποψήφιο για εργασία στη Google και τότε ήταν που ξεκίνησε να εξετάζει την αυθεντικότητα του e-mail.
Το περιεχόμενό του μπορεί να έδειχνε αυθεντικό, αλλά υπήρχε ένα σοβαρό πρόβλημα. Η εταιρεία χρησιμοποιούσε ένα αδύναμο κλειδί κρυπτογράφησης που πιστοποιούσε στους παραλήπτες ότι η αλληλογραφίες προερχόταν από την Google. Αν κάποιος επιτήδειος κατάφερνε να σπάσει το κλειδί, θα μπορούσε να στείλει και e-mail εκ μέρους της εταιρείας.
Σύμφωνα με το Wired, το κενό ασφαλείας υπάρχει στο DKIM key (DomainKeys Identified Mail), το οποίο χρησιμοποιείται από τη Google στα e-mails του google.com.
Σημειώνεται ότι κανονικά πρέπει να χρησιμοποιούνται κλειδιά που να έχουν το λιγότερο 1.024 bits, αλλά η Google χρησιμοποιούσε ένα κλειδί μόλις 512 bits. Με τη βοήθεια της δυνατότητας cloud-computing μπορεί να αποκρυπτογραφηθεί πολύ εύκολα.
Όταν ο Harris ανακάλυψε αυτό το κενό σκέφτηκε το ενδεχόμενο ότι η Google δοκιμάζει τις ικανότητές του και είναι σαν ένα είδος τεστ. Ο ίδιος λοιπόν αποκρυπτογράφησε το κλειδί και στη συνέχεια έκανε φάρσα στους ιδρυτές της Google, πραγματοποιώντας spoofing και βάζοντάς τους να στείλουν ο ένας στον άλλον το παρακάτω e-mail.
Ο ίδιος δεν έλαβε ποτέ κάποια επίσημη απάντηση, αλλά διαπίστωσε ότι δύο ημέρες αργότερα τα bits του κλειδιού της Google εκτοξεύθηκαν στα 2.048, ενώ ο ιστότοπός του δέχτηκε ξαφνικές επισκέψεις από διευθύνσεις IP της εταιρείας.
Σημειώνεται ότι το εν λόγω πρόβλημα υπάρχει και σε πολλούς ακόμα ιστότοπους και πρόκειται για μια μεγάλη απειλή για τους χρήστες. Τα ύποπτα e-mails που προσφέρουν κάποια εργασία από το πουθενά είναι απάτη και μπορούν να βάλουν σε κίνδυνο την ασφάλεια και τα προσωπικά δεδομένα των παραληπτών.
