Četrtek, 12. 4. 2018, 18.38
6 let, 7 mesecev
Pozor: pazite na velik tehnološki konflikt, ki lahko zakuha precej težav
Ena od posebnosti in tudi kar uporabnih funkcij Googlove elektronske pošte Gmail je, da ne prepoznava pik v imenih e-poštnih naslovov. Za Gmail je "janeznovak@..." enako kot "janez.novak" ali "janezno.vak". Težava je, da pike upoštevajo druge spletne storitve. To neskladje lahko uporabnikom nakoplje preglavice. Preberite, kako je zaradi tega nekdo skoraj nasedel prevarantom.
Gmail je z več kot milijardo uporabnikov daleč najbolj priljubljen ponudnik e-poštnih storitev na planetu.
"Moj gmail je janez pika novak ..."
Ko si uporabnik ustvari uporabniški račun Google, ob tem prejme tudi naslov za elektronsko pošto gmail. Če je njegovo uporabniško ime za gmail janeznovak@gmail.com, bo s tem postal lastnik vseh različic tega e-poštnega naslova s pikami, kot so janez.novak@gmail.com, janeznov.ak@gmail.com, tudi j.a.n.e.z.novak@gmail.com. Tako je navedeno na Googlovem uradnem portalu za pomoč uporabnikom.
E-poštnega naslova na sliki zagotovo nikoli še ni poskusil registrirati nihče, a ga tudi ne more, ker je ime skupaj z vsemi različicami naslova, ki vsebujejo pike, v lasti avtorja tega prispevka.
To v praksi pomeni, da uporabniku pri navajanju svojega e-poštnega naslova, če uporablja gmail, ni treba posebej omenjati morebitnih pik, saj bo elektronsko pošto dobil tudi, če pošiljatelj namesto janeznovak@gmail.com uporabi naslov janez.novak@gmail.com.
To se sliši uporabno. Kje je težava?
Težave se lahko pojavijo zato, ker večina spletnih storitev v nasprotju z Googlom ne prezre pik v e-poštnih naslovih, temveč jih upošteva. Problematiko je najlažje opisati na primeru prevare, katere tarča je bil zaradi Googlove politike "pike niso pomembne" prejšnji konec tedna programer James Fisher.
Fisher je od spletnega ponudnika filmov in TV-serij Netflix prejel e-poštno sporočilo s pozivom, naj posodobi številko kreditne kartice. Sporočilo je res poslal Netflix, a ne na naslov jameshfisher@gmail.com, ki ga Fisher uporablja kot primarni e-poštni nabiralnik, temveč na james.hfisher@gmail.com.
Foto: James Fisher
Z Googlovega vidika sta to naslova iste osebe, z Netflixovega, ki upošteva pike v e-poštnih naslovih, pa sta to dva različna uporabnika. Eden pripada Fisherju, drugi (james.hfisher@gmail.com) pa nekomu, ki ga je Fisher poimenoval Eve.
Ker Netflix od novih uporabnikov ne zahteva, da uporabniški račun potrdijo prek e-poštnega naslova, temveč lahko začnejo filme in serije gledati takoj, ko vnesejo številko kreditne kartice, Fisher do zdaj ni vedel, da je za registracijo na Netflixu nekdo uporabil e-poštni račun, ki je na las podoben njegovemu.
A ko je Eve kreditno kartico preklicala oziroma je njena veljavnost potekla, je Netflix moral poslati e-poštno sporočilo, saj ni več mogel sprejeti plačila za storitev. Sporočilo je prejel Fisher, ki bi, če bi se ujel na limanice in ne bi preveril, komu je bilo v resnici namenjeno, lahko posodobil številko kreditne kartice in s tem Netflix začel plačevati nekomu drugemu, pa tega morda sploh ne bi vedel.
Fisher ne ve, kako so nepridipravi prišli prav do njega, vendar pravi, da je to mogoče z dovolj vztrajnosti.
Napadalec bi lahko v prazno streljal tako dolgo, dokler ne bi naletel na uporabniški račun na Netflixu ali tudi kateri drugi spletni storitvi, ki že ima tudi registriran pripadajoči račun Google, in nato zgolj ustvaril uporabniški račun na Netflixu, ki bi imel v e-poštnem naslovu eno dodatno piko.
Po registraciji bi svojo kreditno kartico takoj preklical in Netflix bi poziv, naj jo zamenja, poslal uporabniku s "pravim" e-poštnim naslovom. Če ta ne bi opazil neskladja v uporabniškem imenu, bi imel napadalec ne le brezplačen Netflix, pridobil bi lahko tudi številko kreditne kartice svoje tarče.
Preberite tudi: O vas vedo vse: kje ste bili, kaj ste gledali, s kom se pogovarjate
Znani tehnološki novinar in strokovnjak za informacijsko varnost Bruce Schneier je na svoji spletni strani zapisal, da gre za primer dveh povsem varnih platform, ki skupaj ustvarjata nevarnost za uporabnika.
Fisher je Google medtem pozval k spremembam - uporabnika naj glasno obvesti, da je elektronsko pošto prejel na "napačen" naslov s piko, oziroma uporabnikom ponudi vklop možnosti upoštevanja pik v e-poštnih naslovih.
Morda vas bo zanimalo še
Zakaj dveh tretjin Slovencev ne sme skrbeti, če bodo dobili to sporočilo
Kaj se v resnici zgodi, če na Facebook napišemo "čudežno" kodo BFF
1