Potentiel sikkerhedsrisiko ved Facebook

Dagens indlæg er skrevet af en kollega, som jeg har ekstrem stor respekt for. Gang på gang har hans tilgang til online markedsføring fået mig til at smile, sågar grine og rigtigt ofte sige "det er faneme godt tænkt". Manden bag er Casper Schneidereit, der selv blogger her. Ordet er Caspers:

I forbindelse med arbejdet på Alor gjorde jeg mig en interessant observation. Vi modtog tilsyneladende helt reelle og autentiske nyhedsbreve, som vi ikke selv havde tilmeldt os. Efter lidt søgen kom jeg frem til, at en tidligere ejer af et andet domæne havde skrevet sit forkert, og for lang tid siden havde tilmeldt os (før vi registrerede domænet) til disse nyhedsbreve. Det ledte mig ind på en interessant tanke vedrørende det at lægge en mailadresse som grund for personlig verifikation.

Mange af mine venner har gennem årene løbende skiftet mailadresse. Nogle er startet op med en Ofir, Jubii eller Hotmail, og er så efterfølgende gået over til Gmail. Sikkerhedsproblematikken opstår, når der ikke er harmoni mellem den nuværende aktive mailadresse og den mailadresse, der er tilknyttet brugerens forskellige online tjenester.

Har der ikke været et login på en hotmail-adresse i 270 dage, bliver mails automatisk slettet og aliaset frigivet. Det vil sige, at alle frit kan registrere aliaset. Har den tidligere ejer stadigvæk mailadressen tilknyttet sin Facebook profil, vil det altså være muligt at (gen)registrerer mailadressen og benytte den til at opnå adgang.

Hvis mailen har været brugt til andre tjenester som netdating e.lign., vil den nye ejer af aliaset ligeledes kunne skaffe sig adgang til disse. Ved flere steder lagres passwordet som klar tekst, altså ikke krypteret, og brugeren vil dermed kunne få tilsendt den tidligere ejers password. Da unikke password ikke er danskernes favorit disciplin, vil det typisk kunne benyttes til login på en lang række andre tjenester - også sammen med brugerens nu aktive mailadresse.

Problemets omfang

Jeg er ikke til fulde klar over omfanget af problemet, men det er der. Jeg har en blå bog fra 2008, hvor folks mailadresser er listet, og ved at undersøge om aliaset var ledigt på hotmail og efterfølgende taste mailen ind i søgefeltet, kunne det afgøres, om en person kunne kompromitteres. Der var flere!

Når domæner udløber, virksomhed går konkurs e.lign

Samme problematik opstår, når et domæne udløber. Hvis den tidligere ejer har benyttet domænet til mail, og det stadigvæk er tilknyttet aktive online tjenester, vil den nye ejer kunne overtage disse. De fleste tjenester sender et link til den tilknyttede mailadresse, der kan benyttes til at nulstille passwordet.

Løsninger:

- Sørg for din gamle mail aldrig udløber.

Det må være den bedste løsning - men også den mest besværlige. Jeg kender ikke reglerne for andre tjenester, men en hotmail vil forblive aktiv, hvis du logger på minimum hver 8. måned.

- Ryd op efter dig

Husk at ændre din mailadresse på alle tjenester, hvor du er oprettet. Bruger du ikke tjenesterne mere, så slet din bruger.

- Hav kun din aktive mail tilknyttet facebook.

Fjern altid forældede mailadresser. Ejerskabssikringen af mailadressen sker kun ved selve oprettelsen (hvilket er præcedens ved stort set alle nettjenester).

Debat fra Google Plus





Tobias 06/10/13 14:19

Yes, er selv ude for det med et af mine domæner. Jeg får alt lige fra interne salgslister til nyhedsbreve tilsendt fordi domænet tidligere har været benyttet af nogle andre. Man overtager på en eller anden måde andres identitet...

1

Kristian Ole Rørbye 09/10/13 16:37

Rigtig godt indlæg og helt sikkert noget der ikke er ret mange der tænker over.

Og det Thomas Frost nævner på Google+ omkring catch-all på udløbne domæner, er godt nok vildt! :D

2

Dorte 23/10/13 21:11

Morten, du har vist glemt at linke dit V4D5 logo oppe i venstre hjørne til forsiden?

3

Morten Vadskær 23/10/13 22:31

Nej Dorte, men har stadig mange hængepartier her på bloggen efter jeg skiftede design. Mangler også forfatter og at man kan bladre tilbage til de gamle blogindlæg. Bliver nok aldrig færdig ;-)
Det kommer sådan lidt drypppende. Du kan bruge linket, hvor der står "Forsiden", hvis du vil til forsiden.

4

Charlotte 26/10/13 18:59

En af de få heldige sideeffekter af, at have haft en ofir-mail er, at det ikke længere er muligt at oprette en ny. Så selvom ens gamle ofir-mail blev slettet, fordi dens indbox var fuld for længe, som tilfældet var for mig(husker ikke om det var 2 eller 20mb, men fuld var den - og det gik stærkt), er der ingen farer for identitetstyve der.

5

Annette Lund Andersen 15/11/13 14:45

Hmm det er meget godt, men kan nogen forklare mig hvorfor jeg i flere år modtager mails til en børnehave, med en anden gmail konto og næsten samme navn som min firmas...??? Har i flere omgange sendt mails retur med at jeg nok ikke er rette modtager og det har hjulpet, men der kommer stadig nogle igennem...

Morten nu vi er ved det med din blogs brugervenlighed længere oppe - dine links åbner ikke i ny fane så du sender folk rigtig langt væk herfra hvis man forfølger et :)

6

Smid en kommentar

Brug dit eget navn - ikke sådan noget "billig arganolie" eller "mobilt bredbånd"

Anti-spam-check (beklager, men det er åbenbart nødvendigt):

Hvad er tre + et? (skriv tal - ikke bogstaver)