Pozor: pazite na velik tehnološki konflikt, ki lahko zakuha precej težav

Gmail je z več kot milijardo uporabnikov daleč najbolj priljubljen ponudnik e-poštnih storitev na planetu. Foto: Matic Tomšič

"Moj gmail je janez pika novak ..."

Ko si uporabnik ustvari uporabniški račun Google, ob tem prejme tudi naslov za elektronsko pošto gmail. Če je njegovo uporabniško ime za gmail janeznovak@gmail.com, bo s tem postal lastnik vseh različic tega e-poštnega naslova s pikami, kot so janez.novak@gmail.com, janeznov.ak@gmail.com, tudi j.a.n.e.z.novak@gmail.com. Tako je navedeno na Googlovem uradnem portalu za pomoč uporabnikom. 

E-poštnega naslova na sliki zagotovo nikoli še ni poskusil registrirati nihče, a ga tudi ne more, ker je ime skupaj z vsemi različicami naslova, ki vsebujejo pike, v lasti avtorja tega prispevka. Foto: Matic Tomšič

To v praksi pomeni, da uporabniku pri navajanju svojega e-poštnega naslova, če uporablja gmail, ni treba posebej omenjati morebitnih pik, saj bo elektronsko pošto dobil tudi, če pošiljatelj namesto janeznovak@gmail.com uporabi naslov janez.novak@gmail.com. 

To se sliši uporabno. Kje je težava?

Težave se lahko pojavijo zato, ker večina spletnih storitev v nasprotju z Googlom ne prezre pik v e-poštnih naslovih, temveč jih upošteva. Problematiko je najlažje opisati na primeru prevare, katere tarča je bil zaradi Googlove politike "pike niso pomembne" prejšnji konec tedna programer James Fisher. 

Fisher je od spletnega ponudnika filmov in TV-serij Netflix prejel e-poštno sporočilo s pozivom, naj posodobi številko kreditne kartice. Sporočilo je res poslal Netflix, a ne na naslov jameshfisher@gmail.com, ki ga Fisher uporablja kot primarni e-poštni nabiralnik, temveč na james.hfisher@gmail.com.

Foto: James Fisher

Z Googlovega vidika sta to naslova iste osebe, z Netflixovega, ki upošteva pike v e-poštnih naslovih, pa sta to dva različna uporabnika. Eden pripada Fisherju, drugi (james.hfisher@gmail.com) pa nekomu, ki ga je Fisher poimenoval Eve. 

Ker Netflix od novih uporabnikov ne zahteva, da uporabniški račun potrdijo prek e-poštnega naslova, temveč lahko začnejo filme in serije gledati takoj, ko vnesejo številko kreditne kartice, Fisher do zdaj ni vedel, da je za registracijo na Netflixu nekdo uporabil e-poštni račun, ki je na las podoben njegovemu. 

A ko je Eve kreditno kartico preklicala oziroma je njena veljavnost potekla, je Netflix moral poslati e-poštno sporočilo, saj ni več mogel sprejeti plačila za storitev. Sporočilo je prejel Fisher, ki bi, če bi se ujel na limanice in ne bi preveril, komu je bilo v resnici namenjeno, lahko posodobil številko kreditne kartice in s tem Netflix začel plačevati nekomu drugemu, pa tega morda sploh ne bi vedel. 

Foto: Thinkstock
Fisher ne ve, kako so nepridipravi prišli prav do njega, vendar pravi, da je to mogoče z dovolj vztrajnosti.

Napadalec bi lahko v prazno streljal tako dolgo, dokler ne bi naletel na uporabniški račun na Netflixu ali tudi kateri drugi spletni storitvi, ki že ima tudi registriran pripadajoči račun Google, in nato zgolj ustvaril uporabniški račun na Netflixu, ki bi imel v e-poštnem naslovu eno dodatno piko.

Po registraciji bi svojo kreditno kartico takoj preklical in Netflix bi poziv, naj jo zamenja, poslal uporabniku s "pravim" e-poštnim naslovom. Če ta ne bi opazil neskladja v uporabniškem imenu, bi imel napadalec ne le brezplačen Netflix, pridobil bi lahko tudi številko kreditne kartice svoje tarče. 

Preberite tudi: O vas vedo vse: kje ste bili, kaj ste gledali, s kom se pogovarjate

Znani tehnološki novinar in strokovnjak za informacijsko varnost Bruce Schneier je na svoji spletni strani zapisal, da gre za primer dveh povsem varnih platform, ki skupaj ustvarjata nevarnost za uporabnika.

Fisher je Google medtem pozval k spremembam - uporabnika naj glasno obvesti, da je elektronsko pošto prejel na "napačen" naslov s piko, oziroma uporabnikom ponudi vklop možnosti upoštevanja pik v e-poštnih naslovih. 

Morda vas bo zanimalo še

Zakaj dveh tretjin Slovencev ne sme skrbeti, če bodo dobili to sporočilo

Kaj se v resnici zgodi, če na Facebook napišemo "čudežno" kodo BFF