Nella programmazione dei sistemi per il recupero della propria password da un sito, esiste un concetto chiamato "Zona sicura".
In pratica, in fase di progettazione, è necessario definire assieme al cliente (o ad altre autorità, in casi estremi) un dominio considerato sicuro per la comunicazione delle proprie credenziali.
Ad esempio, alcuni siti permettono di recuperare la password dimenticata semplicemente inserendo il proprio username e rispondendo a una domanda, magari il nome del tuo cucciolo domestico.
Quindi funziona così: vai sul sito, inserisci la username, inserisci la risposta alla domanda, il sito ti mostra una interfaccia per scegliere una nuova password. Semplice...ma come immaginate poco sicuro. In questo caso, la conoscenza del nome del cucciolo domestico è considerata una prova attendibile del fatto che sia proprio tu, il proprietario del nick, quello che si sta modificando la password.
Ovviamente esistono zone sicure molto più restrittive. Ad esempio per poter cambiare il codice di accesso al sito della mia banca devo:
- avere accesso alla mia casella email
- chiamare un numero e comunicare alcune cifre del mio pin statico
- inserire le cifre del pin generato automaticamente nella chiavetta della mia banca ogni 30 secondi.
Accesso all'email + Dati del conto + possesso della O-KEY
è considerato zona sicura. Quindi, il sito parte dal presupposto che se ho accesso a quelle informazioni, quello sono proprio io.
La norma però, come tutti noi sappiamo, è diversa. Di norma l'email da sola è considerata zona sicura, ergo se hai accesso all'email di una persona...hai buone speranze di fregarle un account di un qualsivoglia sito.
Certo, magari non lo fareste alla vostra fidanzata, e non è mica facile avere accesso a username e password di uno sconosciuto...ma che succederebbe se la casella email fosse di pubblico dominio?
***
Un servizio di cui sono assiduo utente, che utilizzo oramai da anni per evitare spam inutile nella mia casella quando voglio iscrizioni usa-e-getta, è
www.mailinator.com.
Questo sito riceve qualsiasi email che arriva al dominio mailinator.com (e altri domini simili - come notmailinator.com - in quanto spesso il principale viene giustamente bloccato nei siti) e la inserisce in una casella email pubblicamente accessibile.
Provate subito: inviate una email a
itakian@mailinator.com
Poi andate a questo indirizzo:
itakian.mailinator.com
Troverete l'email lì pronta ad aspettarvi. Apritela e cancellatela, se non volete che qualcun'altro per caso legga il vostro indirizzo email ;)
***
Fatta questa
piccola premessa, oggi una amica mi ha chiesto un favore. Mi ha chiesto di aiutarla a recuperare la password dal suo account di Facebook. Non sapendo come indicarle passo passo come fare(non è molto pratica coi PC) ho deciso di provare ad effettuare io il recupero password...ma...io non sono iscritto a quel sito. Quindi non avevo modo di terminare la procedura per il recupero delle credenziali.
Facebook è uno di quei siti che considerano zona sicura il proprio account email, quindi mi viene un'idea: qualcuno avrà pur usato mailinator per iscriversi al sito no? Chissà quanti utenti creano ogni giorno account usa-e-getta per i più svariati scopi...e quindi decido di provare.
Quale email è più semplice di
test@mailinator.com?
Clicco su "Hai dimenticato la password" (1) , inserisco l'indirizzo email scelto (2) , e clicco su "Cerca" (3)...
...e manco a dirlo funziona al primo colpo. Di solito, se l'indirizzo email non è presente a sistema compare infatti un semplice avviso di "utenza non trovata". Ma l'email l'ha trovata...quindi procedo (4).
Mi collego a
test.mailinator.com , ed apro la mail
A questo punto un ultimo passo. Clicco sul link "Click here to change your password (6), cancello l'email (7), e nella finestra di cambio password di facebook ne inserisco una nuova.
Facile facile, ho ottenuto l'accesso a un account di Facebook:
Ora, di solito gli indirizzi mailinator sono usati per fare test ed infatti l'account in questione è mezzo vuoto...ma tant'è, lo stesso trucchetto ha funzionato su un paio di altri siti, siti nei quali una volta entrati nell'account è possibile modificarne l'indirizzo email associato...di fatto rubando l'identità digitale di quell'utenza, sul sito.
Quindi da ora in poi, quando utilizzate un servizio come mailinator, pensateci due volte. Se veramente vi serve un account usa-e-getta, una volta terminato di usarlo cancellatelo dal sito in questione (come ha fatto tal mike[AT]mailinator.com , ad esempio, il cui account su facebook risulta disattivato). Se non possibile cancellarlo, eliminate qualsiasi informazione sensibile...potrebbe arrivare l'Itakian della situazione e fregarvelo ;)
