torstai 26. syyskuuta 2013

Yahoon kierrättämät Yahoo ID-tunnukset tietoturvariski

yahoo_newlogo

Internet palveluyhtiö Yahoo aloitti hyvin kyseenalaisen käyttäjätunnusten kierrättämisen elokuun lopussa ja väitti tuolloin että järjestelmä on turvallinen. Toisin taitaa kuitenkin olla.

Yahoolla ei ehkä ole mietitty aivan loppuun heidän uutta palveluaan jossa käyttäjät voivat hakea uusia tai tarkemmin vanhoja aliaksia omalle Yahoo ID tunnukselleen. He lopettavat tilejä joissa ei liikennettä ole eikä käyttäjä ole kirjautunut tililleen yli vuoteen. Tili on suojatilassa jonkin aikaa jonka jälkeen se siirtyy jälleen uusien tilinluojien saataville.

Nykyiset että uudet käyttäjät voivat tehdä listan haluamistaan tunnuksista ja kun ne tulevat saataville, siirtyy tunnus mahdollisesti sille hakevalle henkilölle, tässä yhtiö on vain unohtanut sen että ehkä alkuperäiset käyttäjät tarvitsevat tunnustaan edelleen myöhemmin ja ne ovat heillä käytössä vaikkakaan he eivät siihen usein kirjautuisikaan.

Monet uudet Yahoon käyttäjät ovat saaneet käyttöönsä vanhojen ja niin sanottujen hiljaisten käyttäjätunnusten ID:t, ja toki ilman tietoa siitä että annettu käyttäjätunnus on ollut joskus jonkun muun käytössä.

Jotkut käyttäjistä ovat saaneet edellisen omistajan sähköpostia joissa varmistetaan lentolippujen tilaus, kalenterimuistutuksia sekä muita henkilökohtaisia tietoja.

Vakavia tietosuojauhkia:

Eräs käyttäjä kertoi että tietää edellisen käyttäjätunnuksen (lue Yahoo ID) käyttäjän kokonimen, osoitteen, harrastukset, sairaudet, henkilötunnuksen, lapsien koulun ja muuta hyvin henkilökohtaista tietoa mutta ei ole kuitenkaan käyttänyt tietoja väärin.

Jos joku laittaa vaikkapa bill@yahoo.com osoitteen hakuun ja haluaa sen omita seuraavaksi Yahoo ID:ksi, hän voi sen saada, alkuperäisen Billin tietoja voi tuolloin käydä kalastelemassa mistä tahansa palvelusta ja aivan varmasti joku niistä nappaa ja tunnus on palvelusta täten helppo kaapata pyytämällä salasanan vaihtoa.

Syitä tunnusten hiljaiseloon:

Näyttää siltä että monet vanhat käyttäjät käyttävät edelleen Yahoon sähköpostiosoitetta monessa asiassa, vaikka eivät tiliä olekaan käyttäneet, se että he eivät ole tilille kirjautuneet ei ilmeisesti kerro siitä että sitä ei käytettäisi.

Esimerkiksi Facebook ja monet palvelut joihin on kerran tarvinnut sähköpostiosoitetta rekisteröitymiseen ovat saattaneet olla syy monelle luoda Yahoo tunnus.

Rekisteröitymisen aktivoinnin jälkeen he eivät välttämättä ole enää sähköpostissaan käyneet ja tämä ei luonnollisesti tarkoita sitä etteikö osoitteelle olisi myöhemmin tarvetta, kuten vaikkapa salasanan palauttamiseen. Jos Yahoo tai mikä tahansa muu yhtiö sulkeekin tilin sillä välin kun salasana unohtuu, ei salasanan palautuslinkki enää menekään sille tarkoitetulle käyttäjälle vaan pahimmassa tapauksessa osoitteen uudelle käyttäjälle.

Onkin aina hyvä että palveluihin syöttää myös varasähköpostin jotta kuvatunlaisesta tilanteesta voi selvitä, aina tosin palveluihin ei voi varaosoitetta tallentaa.

Yahoo luottaa edelleen järjestelmäänsä:

Yahoon vastaus toimintansa varmuuteen on se että he tarkistavat moneen kertaan käyttäjän aktiivisuutta ennen tilin lopettamista ja siirtämistä sen tunnusta muille käyttäjille.

Nykyisin uusien tunnusten haku on maksullista yksi haku/aliaksen varaus maksaa 1.99 dollaria eikä se kuitenkaan takaa että tunnus tulisi koskaan saataville. Yksi varaus on voimassa kolme vuotta.

LÄHDE: CNET