انتشار شده در تاریخ 1392/07/09 - 04:56

خطرات بالقوه طرح بازیابی شناسه‌های یاهو

طرح بازیابی شناسه‌ها و حساب‌های کاربری یاهو که قبلاً هم از آن صحبت شد، به این معناست که شناسه‌های غیرفعال این وب‌گاه آزاد شود و در اختیار سایر افراد علاقمند قرار گیرد.

موسسه خبری سایبربان: طرح بازیابی شناسه‌ها و حساب‌های کاربری یاهو که قبلاً هم از آن صحبت شد، به این معناست که شناسه‌های غیرفعال این وب‌گاه آزاد شود و در اختیار سایر افراد علاقمند قرار گیرد. با اینکه یاهو تصور می‌کند این ایده جالب و کارآمد است اما واقعیت ثابت کرده که می‌تواند بسیار خطرناک باشد.
کریستین برنهام یکی از کارشناسان InformationWeek وضعیت ۳ کاربری را که از این طرح استفاده کرده بودند، پیگیری کرد. این افراد فهرست ۵ تایی از شناسه‌های مورد نظر خود را ایجاد کردند و با خوش‌شانسی به یکی از موارد دلخواه خود دست یافتند.(این امکان در آن زمان رایگان بود اما اکنون باید در ازای آن ۱٫۹۹ دلار پرداخت شود.) اما آنچه که آن‌ها انتظار نداشتند رگبار رایانامه‌های معتبر یا هرزنامه‌ای بود که همچنان به صندوق پستی آن‌ها ارسال می‌شد.
رایانامه‌های تبلیغاتی، فیس‌بوک و پاندورا، رایانامه‌هایی که از طرف شرکت‌های سرمایه‌گذاری و یا تلفن‌همراه کاربر ارسال می‌شود، رایانامه‌هایی که از جانب بانک و یا شرکت ارائه‌کننده‌ی خدمات اینترنتی ارسال می‌گردد و بسیاری دیگر از این رایانامه‌ها اغلب حاوی اطلاعات مالی و فردی کاربر است؛ از این رو کاربران جدید ممکن است به آسانی از این اطلاعات سوءاستفاده کرده و هویت مالک قبلی این حساب را سرقت کنند.
در تئوری این اتفاق نباید رخ دهد. زمانی که یاهو به مالک حساب‌های کاربری غیرفعال اطلاع دهد و فهرستی از این حساب‌ها را ایجاد کند، تمامی اطلاعات متعلق بدان‌ها در واقع حذف شده است. اما ۱ ماه زمان می‌برد تا به ارسال‌کنندگان هشدار دهد که حساب کاربریِ غیرفعال شده دیگر موجود نیست و آن‌ها باید عضویت این حساب‌ها را از رایانامه‌های تجاری خود مانند خبرنامه‌ها و پیام‌های هشدار حذف کنند و با سرویس‌ها و شرکت‌های برخط در پیاده‌سازی سرآیند Require-Recipient-Valid-Since یا RRVS همکاری نمایند. این سرآیند دیگر اجازه نمی‌دهد که رایانامه‌های تغییر گذرواژه به مالکان جدید ارسال شود.
اما در عمل این اتفاق رخ نمی‌دهد. شرکت یاهو نیز اذعان کرد که برخی از کاربران که مالکِ جدید این حساب‌های غیرفعال شده‌اند، همچنان رایانامه‌هایی را دریافت می‌کنند که ویژه‌ی مالک قبلیِ حساب است. از این رو این شرکت همچنان مشغول همکاری با سایر شرکت‌هاست که سرآیند RRVS را در رایانامه‌ها پیاده‌سازی کند.
با این حال ظاهراً این ۳ مالک جدید از حساب‌کاربری خود راضی نیستند و سعی می‌کنند رایانامه‌های ناخواسته را فیلتر کنند و یا حتی حساب‌های جدیدی برای خود انتخاب کنند.
با وجود این مسائل باید اذعان داشت که اساسِ این ایده جالب است اما باید در پیاده‌سازیِ آن دقت بیشتری شود؛ چرا که راه نفوذ را برای افراد خراب‌کار بسیار هموار می‌سازد.