Pseudolosowe adresy email nie są bezpieczne
Jeśli czasem, zmuszeni do podania jakiegoś adresu email, zaczynacie uderzać w klawisze klawiatury w nadziei na utworzenie pseudolosowego, nieistniejącego adresu, przyjrzyjcie się wynikowi tej operacji. Jeśli domena, którą wygenerowały Wasze palce do asdf.pl, to pocztę przechodzącą na ten adres będą mogły przeczytać osoby postronne. Jakim cudem? Ano takim, że w domenie asdf.pl działa usługą tymczasowej poczty. Każdy internauta może się tam zalogować i czytać wiadomości przychodzące np. na adres [email protected] – i wiele, wiele innych. Jeśli dobrze poszukacie, to nie tylko znajdziecie linki do testowych środowisk pewnej aplikacji, ale także na przykład powiązane z adresami w tej domenie konta Google.
Używanie przypadkowych adresów email jest zawsze obarczone ryzykiem – możecie sami sprawdzić, jak wiele adresów wydawało by się nieistniejących, w rzeczywistości zostało zarejestrowanych i odbiera każdą przesyłaną do nich wiadomość. W niejednej bazie danych na pewno znajdzie się sporo klientów z emailami w domenach takich jak brak.pl czy niema.pl…
Dziękujemy anonimowemu Czytelnikowi za wskazanie linkd do asdf.pl.
Podobne wpisy
- Jak włamano się do Ubera i dlaczego najwyraźniej nie było to trudne
- Jak złamano hasła ofiar wycieku danych z KSSiP?
- Jak wszystkie polskie media podały dalej fake newsa o włamaniu hakerów do banku
- Jakie dane rosyjski Killnet wykradł z serwera polskiej agencji
- Co ujawnili Anonymous (i inne grupy), czyli historia prawdziwych wycieków ostatnich tygodni
Czegoś nie rozumiem, skoro podajemy nieprawdziwy adres email to raczej dlatego że stamtąd gdzie go wpisujemy nie spodziewany się ważnych wiadomości, przy okazji podajemy też inne zmyslone dane. Zreszta tymczasowy mail jest aktywny przez krótki, ograniczony czas, takze nawet jak komuś akurat uda się na niego wbić, to jak nas z tym powiąze i do czego będzie mu to potrzebne. Oczywiście, niektóre serwisy podają w mailu IP, ale pytanie, po co to komu? Ten artykuł wygląda bardziej na reklamę konkretnego serwisu niż rzeczywisty problem.
Bo przejęcie Twojego konta na Gmailu gdyż podałeś jako adres do odzyskiwania hasła [email protected] nie jest przecież żadnym prawdziwym problemem. Tak samo jak ujawnienie ścieżek infrastruktury deweloperskiej dużej aplikacji. (ten „krótki czas” to co najmniej 6 dni, bo takie email są aktualnie w tym serwisie do przeczytania)
Ale chyba nikt kto ma choćby najmniejsze pojęcie o tym jak działa internet nie podałby nieswojego adresu e-mail jako adresu pomocniczego do tak ważnej usługi jak prywatna poczta :) Z całym szacunkiem do autora bloga ale ten wpis jest mocno naciągany. W ogóle co to za idiotyczny pomysł aby gdziekolwiek poza śmieciowymi forami podawać nieistniejące adresy e-mail? Jeśli adres nie istnieje, to nic nie stoi na przeszkodzie aby kiedyś zaistniał.
Serio ktoś poza jednostkowymi przypadkami podaje lewy adres do odzyskiwania hasła z innego maila ?
Tylko spokojnie,
Przecież to taka sama usługa jak niepodam.pl czy koszmail.pl
Do wykorzystania przy rejestrowaniu konta, gdy nie ma sensu podawać prawdziwego.
Na przykład gdy potrzebuje zassać coś ze stron Cisco zakładam tam konto podając taki tymczasowy adres. Po wszystkim można o nim zapomnieć i tyle.
Ja do takich tymczasowych adresów używam usługi podam.pl/niepodam.pl – i oczywiście „każdy” może takie maile czytać, i to jest zaleta, o skoro każdy, to i ja (i mogę odkliknąć w odpowiedni link z maila).
Ja używam adresu zaczynającego sie od spam+nazwa. Po pierwsze mam nad nim kontrolę. Po drugie łatwo sie to filtruje. Po trzecie ładnie wygląda.
Ale co jest losowego w domenie asdf.pl? Wciskanie klawiszy na klawiaturze *po kolei* nie ma raczej nic wspólnego z losowością. A nawet z pseudolosowością.
Pseudolosowe może być coś takiego: gsvfysdtcgt.fd
Ja myślę, że większym problemem jest używanie takich pseudolosowych emaili do testowania aplikacji.
Jedyne słuszne rozwiązanie to email w domenie którą kontrolujemy lub w gorszym przypadku @example.com (bo za tym przynajmniej jest ktoś poważny).
W poprzedniej firmie miałem z tym problem. Business val testy na produkcji i oczywiście garść maili @test.com
W pewnym momencie już nawet skrypt uruchomiłem sprawdzający razem z raportem do business ownera bo stało się to nagminne.
Przez parę miesięcy miałem moje główne konto na fb założone na tymczasowego maila, przez to, że zwykłego maila w dalekiej przeszłości użyłem do tymczasowych kont na fb, także zdarzają się i takie przypadki. Dodam, że studiuję informatykę i poprostu olewałem sprawę, gdyż tymczasowy mail wydawał mi się wystarczająco długi i losowy. Dopiero jak znalazłem chwilę żeby założyć sobie kolejnego „prawdziwego” maila to to zmieniłem.
„Dodam, że studiuję informatykę” – to wiele tłumaczy :D
Powiem wam jedno:ta wiadomość została wysłana z adresu [email protected]