据《连线》网站6月11日报道，网络安全研究员Oren Hafif分析，只要对网页链接做一些调整并且有耐心，任何人都可以收集Gmail全球用户的邮箱地址。

Oren Hafif说他帮助谷歌公司的Gmail发现并修复了一个漏洞，通过这个漏洞，黑客在数日或数周内即可获取大量Gmail邮箱账户。该漏洞不会暴露密码，但是用户会收到垃圾邮件，网络钓鱼或者密码破译的攻击。这个漏洞可能存在很久了。

该漏洞与Gmail鲜为人知的一个账户分享特点有关，即Gmail允许“委托”其他用户登录自己的账户。去年11月， Hafif发现当用户拒绝关联其他账户时网页的URL会改变。在网址上做一点改动后，页面显示他无法关联到另一邮箱地址。通过DirBuster软件自动修改网页地址，Hafif用两个小时便收集了37000个Gmail地址。

来自以色列安全公司Trustwave的Hafif说：“如果我不停地这么做（修改字符），我可以肯定，我能收集全所有的Gmail地址?！?/span>

Hafif补充说，这次泄露事件影响的不只是Gmail个人用户。黑客可以利用漏洞收集所有用谷歌账号注册邮箱的用户地址，包括谷歌内部员工。

当谷歌的反刷机防火墙阻止Hafif的侵入时，他迅速改变了URL的某些部分继续抽取大量邮箱地址。Hafif说由于谷歌不需要输入验证码和其他验证就可以看到重要内容，一个有耐心的邮箱地址收集者可以用匿名软件工具或者其他隐藏IP方法在不被发现的情况下收集邮箱地址?！罢庑┪淳橹さ拇嗳醯憧梢员焕茫?span lang="EN-US"> Hafif说。

在Hafif发现漏洞后，谷歌花了一个月的时间修复此漏洞。最初谷歌公司拒绝给Hafif漏洞项目奖金，这个奖金是为了奖励发现并协助谷歌修复安全漏洞的黑客。后来谷歌改变了态度给了他500美元，这与谷歌为了发现高危脆弱点而花费的数以万计的美元相比真的是小数目。

一位谷歌发言人证实，公司已修补了Hafif发现的邮件泄密漏洞并支付他相应的报酬，但是他拒绝就该事件做进一步评论。

Hafif星期二在博客里透露了漏洞的存在。他说他也不知道这个漏洞存在了多久或者它是否被发现过。谷歌对Gmail的代理权限从2010年末就开始实行，这个漏洞可能已经存在数年了。

这位27岁的研究员说他对谷歌对帮助修复高危漏洞的人的平淡态度有些失望，正如他在博客里写的：“试想一下垃圾邮件制造商或者其他国家（例如中国？）会用多少钱来购买写有所有谷歌账户的名单？”

有人已经得到这份名单了吗？“这个问题很难回答，” Hafif说。“我们也不知道?！?/span>