LorteMail giver en muligheden for at benytte en anonym mailkonto, hvis indhold automatisk slettes efter 24 timer. Men valget af brugernavn er vigtigt at tænke på, da alle kan tilgå indbakken. Det har givet anledning til spændende informationer.
Du kender det godt. En onlineservice har lige det du søger - men der kræves login for at tilgå ressourcen. Her skal de 'naturligvis' have ens e-mail adresse. Har man prøvet det én gang før, så ved man, hvor mange lortemails der efterfølgende dukker op.
Her er LorteMail.dk et friskt og aldeles brugbart tiltag, hvor man uden oprettelse kan tilgå en midlertidig mailadresse sluttende på "@lortemail.dk". Man vælger selv, hvilket brugernavn man ønsker og angiver efterfølgende det til den fremsendte e-post.
Problemet er i den forbindelse, at mange personer ikke tænker sig om. Deres brugernavne er indlysende - og man kan dermed kigge med i den mail der er modtaget de sidste 24-timer. I nogle tilfælde er det til sociale tjenester og sågar logininformation til uddannelsesinstitutioner.
Udnyttet uden at vide det
I et konkret eksempel har en mand på 23 år oprettet en profil på et datingsite ved brug af en lortemail adresse. Datingsitet sender gladeligt nyhedsbreve med mulige match til denne profils e-mailadresse. Nyhedsbrevene indeholder billeder af kvinder der også søger en partner.
I den seneste "match mail" lortemail har modtaget, er der billeder af 10 kvinder i alderen 19 til 28 år. Profilen "FrkWinter", på lidt over 20 år, er fremhævet. Men "louise26", "Stinnababe", "miss27" og "SweetCherry" med flere er også vist med profilbillede i mailen.
Klikker man på et af de fremsendte profiler, så åbnes datingsitet direkte. Her sendes man ind på den falske mandlige profil, hvor det oplyses, at profilens abonnement udløb den 2. februar 2009. Dog er den stadig aktiv nok til at modtage e-mails fra datingservicen.
Hvis man ikke lige kender den 23-åriges password til datingservicen - så har den naturligvis funktionen "Glemt dit kodeord". Her angiver man profilnavnet fra lortemail og klikker OK. Få minutter senere ligger der en e-mail med det eksisterende kodeord eller et nyt. naturligvis fremsendt til den angivne lortemail-adresse *suk*
Jeg har ingen idé om, hvor ofte datingservicen sender sådanne mails ud - men gætter på det nok er ugenligt. Dermed er mindst 40 kvinders profiler sendt ud til en åben mailservice, uden deres vidende, siden den 23 årige mands profil udløb.
De fleste betragter en profil på et datingsite som noget yderst personligt. Den er rettet mod ligestillede (andre brugere af servicen) - og vil med garanti finde det krænkende, at andre uden tilknytning kan se deres profilbilleder og brugernavne.
Adgangsinformation til et uddannelsessted
I samme bolgade har en yngre person oprettet en lortemail-adresse til midlertidig adgang til sin skoles website. Skolens website kræver en bekræftelse - som returneres til den angivne adresse. Af ukendte årsager tjekker skolens websystem ikke, hvormange gange der bekræftes.
Ved at klikke på den angive webadresse, sendes man direkte til deres valideringsside - som efterfølgende forwarder til det egentlige system. Oven i købet med beskeden: "Tak for din bekræftelse - du har nu adgang til....".
På denne side ligger der forskellige oplysninger om klasseårgange - som igen indeholder information om elever, undervisningsplaner, kontaktinformationer, adresser og lignende. Informationer der kan tilgås direkte fra den åbne mailservice. Småkritisk.
LorteMail er helt uden skyld
Det nemmeste vil være at anklage lortemail for at have oprettet en service der udfylder et behov. Men det vil være det samme som anklage bilproducenterne for påkørsler af fodgængere og cyklister. Det er nærmere et spørgsmål om, at har man brug for denne service - så skal man tænke sig om og overveje konsekvenserne.
De pågældende sites, og der er lang flere end de nævnte, er ofre for en semilegal bagdør kombineret med manglende beskyttelse for en anvendelse, der er atypisk. Men det kan lade sig gøre og oven i købet uden at hacke med specielle værktøjer eller fordækte scripts. Lidt kreativ tænkning er nok.
Hvis man har et behov for at bruge en midlertidig e-mail adresse på lortemail.dk, så brug for pokker en så kryptisk adresse, at chancen for at gætte den er 1:1000000. Angiver man "hansen", "peter", "lotte", "kurt", "qwerty", "1234", "abcd" eller lignende - så er der en stor chance for at andre kigger med.
Klik her for at komme til http://LorteMail.dk
Tanker, betragtninger og holdninger i forbindelse med it-sikkerhed med fokus på sårbarheder, exploits, malware, hacking, cracking, tools, trends og strategier. Bloggens indhold er subjektiv og kan ikke lægges andre til last.
Opslag
Blog-arkiv
-
▼
2009
(34)
-
▼
februar
(14)
- LorteMail - medaljen har to sider
- Englands nationale lotteri website hacked
- Mere sårbart Adobe software - denne gang i Flash
- Wikileaks: Skype VoIP i Asterisk open source PBX s...
- EU vil undersøge VoIP aflytningsteknikker
- Humor: New Stupid Piece Of Shit
- Ny kritisk Adobe Reader/Acrobat sårbarhed
- Krisen truer også it-sikkerheden
- Kaspersky rydder op
- Tre på stribe
- Sikkerhedsfirmaer med sløset web-sikkerhed
- Begrænsede brugerrettigheder afhjælper sårbarheder
- Zombies i området - LØB!
- Malware og angrebssites klar til Valentinsdag
-
▼
februar
(14)
Offentlige links jeg benytter:
- robtex
- SANS Internet Storm Center
- XSSed
- Microsoft Sysinternals
- Wired News
- Security Focus
- Hackin9.org
- The Register - Security
- Secunia Advisories
- Packet Storm
- The Dark Visitor
- Dancho Danchev's Blog
- ThreatExpert Blog
- Malware Domain Blocklist
- The Full-Disclosure Archives
- Offensive Computing
- Shadowserver Foundation
- Astalavista Security News
- 1337 day