Cei de la firma de securitate IT Sophos, au scris pe blogul companiei, Naked Security, despre cum Yahoo incearca sa repare greseala pe care a facut-o anul trecut, atunci cand a sters conturile care nu au mai fost accesate in ultimul an de zile si a dat posibilitatea reinregistrarii acestora de catre cine a dorit. Asta inseamna ca alte conturi care au fost create cu ajutorul respectivelor casute de e-mail, inclusiv cele de Facebook, au devenit potentiale tinte pentru cei care au dorit sa preia controlul asupra lor.
Indivizii care isi fac astfel de adrese de e-mail, care in trecut au apartinut altor persoane, afla destul de repede ca acestea au fost utilizate pentru inregistrarea pe alte site-uri, daca nu chiar asta urmaresc din prima, fiindca stim cu totii ca, din cand in cand, respectivele companii trimit tot felul de mesaje catre utilizatori, de la activitati legate de respectivele conturi, pana la urari cu ocazia zilelor de nastere.
Pentru a bloca posibilitatea ca anumite conturi de Facebook sa ajunga pe mainile altora, prin resetarea parolei de catre noul proprietar al casutei postale electronice, reprezentantii retelei de socializare au gasit o solutie, impreuna cu cei de la Yahoo, in sensul ca toate mesajele trimise de catre Facebook spre adresele de e-mail Yahoo, vor fi oprite din calea lor catre inbox, daca Yahoo detecteaza ca e-mailul a fost reciclat dupa data la care a fost realizat contul de Facebook.
Foarte buna ideea, insa ce ne facem cu alte conturi care au fost realizate de pe acele adrese de e-mail reciclate?
Aceasta este doar una dintre multele greseli pe care Yahoo le-a facut in ultimii ani de zile.
Totul a inceput atunci cand s-au gandit ei ca trebuie sa adune serverele pe care le aveau in mai multe locatii de pe Glob, pentru a reduce costurile, acest lucru conducand inspre timpi mai mari de incarcare a serviciilor lor. Asa iti dai seama ca o companie are mari probleme.
A doua mare greseala, despre care imi amintesc acum, tine de securitatea informatica si siguranta conturilor Yahoo. In urma cu ceva ani de zile, atunci cand doreai sa resetezi parola contului Yahoo, una dintre posibilitati era sa apelezi la cele doua intrebari de securitate. Daca erai destul de neinspirat sa alegi drept raspunsuri pentru acestea, lucruri reale din viata ta, care puteau fi cunoscute de catre prieteni, amici, cunostinte, aflate usor de pe Internet sau chiar ghicite, atunci contul tau putea fi compromis cu usurinta.
Desigur, puteai sa-ti schimbi cele doua intrebari de siguranta, insa aici intervine greseala celor de la Yahoo. Asa cum a descoperit unul dintre baietii de pe RST, Nemessis, chiar daca schimbai raspunsurile la intrebarile de securitate, cei de la Yahoo iti ofereau posibilitatea sa revii la intrebarile initiale. Prin urmare, daca stiai raspunsurile acestora, resetai oricand parola contului.
Alta greseala a celor de la Yahoo, care imi vine acum in minte, a fost cea cu reclamele virusate ale tertilor, care apareau pe paginile utilizatorilor.
Si ultima: cei de la Yahoo ofereau tricouri si pixuri cercetatorilor care raportau vulnerabilitati in serviciile companiei. Evident, sunt oameni care traiesc din asa ceva, deci au nevoie de bani, nu de pixuri si tricouri, in schimbul unui XSS (Cross-Site Scripting) mai ales ca puteai sa-l vinzi pe piata neagra.
Revenind la subiectul acestui articol, au fost multi care s-au bucurat ca vor fi deblocate anumite casute de e-mail, care nu au mai fost folosite de mult timp, pentru ca este mai cool sa ai id-ul “maricica”, decat “maricica2004”, insa cei de la Yahoo trebuiau sa se gandeasca la urmarile unui astfel de gest, mai ales ca fusesera avertizati in legatura cu acestea, de catre specialistii din domeniul securitatii informatice.
In legatura cu acest subiect, nu pot sa nu ma gandesc la acea propunere cu plata anuala a domeniilor Internet, cele care au fost inregistrate de catre oameni cu gandul ca au facut acest lucru pentru totdeauna.
Evident, sunt multi care asteapta asa ceva, pentru a sta la panda dupa domeniul pe care si l-au dorit intotdeauna, care acum este blocat de catre altcineva. Si mie mi-ar placea un adi dot ro, insa chiar daca ar deveni liber, fiindca unii au hotarat asa, nu este moral sa iei ceva ce este al altcuiva.
De ce credeti ca au renuntat, deocamdata, la acel proiect?
Explicatia generala, ar fi una singura: pentru ca s-ar crea haos. Ar exista situatii precum cele de mai sus, atunci cand adresele de e-mail ale domeniilor respective, ar fi folosite pentru furturi.