2. Hírek
  3. Biztonság

Nem megy hibátlanul a Yahoo e-mail fiókok újrahasznosítása

Tegnap a Google azonnali üzenetküldő alkalmazásaiban lépett fel egy olyan hiba, ami miatt az üzenetek egy része nem a címzettnél landolt, most pedig a Yahoo e-mail szolgáltatását használók panaszkodnak, hogy olyan leveleket kapnak, amiket egyáltalán nem kéne.

A Yahoo idén júniusban jelentette be, hogy a legalább egy éve nem használt e-mail fiókokat „reseteli”, és újra kiosztja az igénylőknek. Elméletben ez azoknak jó, akik szeretnék egy bizonyos névvel használni a Yahoo szolgáltatását, de nem tudják megtenni, mert az áhított fióknév valaki más által már használatban van. Az eljárással kapcsolatban már akkor is számos biztonsági szakértő és adatvédelmi szervezet kifejezte aggályait, de az amerikai vállalat akkor mindenkit igyekezett biztosítani arról, hogy a folyamat során minden szükséges lépést megtesznek azért, hogy megvédjék az e-mail fiókok korábbi tulajdonosainak adatait és privát szféráját.

A napokban viszont több Yahoo Mail felhasználó – köztük egy IT biztonsági szakember – is jelezte, hogy az újonnan megszerzett e-mail fiókba olyan levelek érkeznek, melyeknek nem kéne. Tom Jenkins elmondta, hogy már az első naptól kezdve folyamatosan kapta az előző tulajnak szóló leveleket, köztük olyanokat is, melyek segítségével különböző szolgáltatásokhoz is hozzáférhet a korábbi tulaj nevében.

„Be tudok lépni a Pandora fiókjukba, de nem fogok. Be tudok lépni a Facebook fiókjukba, de nem fogok. Tudom a nevüket, a címüket és a telefonszámukat. Tudom, hova jár iskolába a gyerekük, ismerem a társadalombiztosítási azonosítójuk utolsó négy számjegyét. Tudom, hogy múlt héten szemészeten voltak, és nemrég meghívást kaptam egyik barátjuk esküvőjére is. A személyiséglopás lehetősége óriási.” – mondta Jenkins.

A Yahoo júliusban nyitotta meg azt a kívánságlistát, amin jelezni lehetett, melyik az az öt felhasználói név, amiket leginkább szeretnénk magunkénak tudni, az első újrahasznosított e-mail fiókokat pedig augusztusban kezdték kiosztani. A vállalat – a gyakorlatot kritizálók hatására – további részleteket közölt a folyamatról, melynek értelmében a fiók deaktiválása és újrakiadása közé beiktatnak egy 30 napos várakozási időt, ami alatt gondoskodnak a szükséges értesítésekről és leiratkozásokról, és automata válaszlevelet küldenek, hogy a fiók már megszűnt.

Az, hogy a hibára miért csak most derült fény, egyelőre nem tiszta. A vállalat hivatalosan mindössze annyit közölt, hogy minimális panaszt kapott ezzel kapcsolatban, és továbbra is együttműködik majd más érintett cégekkel az RRVS (Require Recipient Valid Since) fejléc alkalmazásában. Az RRVS egy olyan azonosító, aminek használatával a küldő fél meg tudja mondani a fogadónak, hogy szerinte ki a fiók tulajdonosa (és ez mikor került utoljára megerősítésre). A fogadó fél – esetünkben a Yahoo – a kapott információt összeveti saját a saját adatbázisában szereplővel, és ha tulajdonosváltás történt, elutasítja a levél kézbesítését.

Azóta történt

Előzmények