Nemt at nulstille kodeord i andres web-mails

Computerworld News Service: Yahoo Mail er ikke den eneste webmailtjeneste, der kan narres til at give en e-mailkontos kodeord til fremmede, hvilket er den taktik, nogle mener, der blev brugt til at bryde ind i Alaskas guvernør Sarah Palins webmail i forrige uge.

Googles Gmail, Microsofts Windows Live Hotmail samt Yahoo Mail gør alle brug af mekanismer til automatisk nulstilling af kodeord, som kan misbruges, hvis man kender det brugernavn, der hører til en konto og svarer hurtigt forsøg foretaget af Computerworld.

Journalister og redaktører på Computerworlds redaktion i USA var i stand til at 'bryde ind' i deres egne og kollegers konti på alle tre webmailtjenester og nulstille kodeord ved brug af intet andet end kontoens brugernavn og det korrekte svar på et ud af et begrænset antal almindelige sikkerhedsspørgsmål, såsom moderens pigenavn, navnet på et yndlingskæledyr eller mærket af kontoejerens første bil.

Nogle af de informationer, der ville give svar på disse sikkerhedsspørgsmål, kan nemt findes ved at søge på sociale netværkssites eller ved normale internetsøgninger, hvilket er, hvad hackeren, der går under navnet 'rubico', hævder at have gjort for at grave sig frem til de informationer, der gav adgang til Palins webmailkonto.

Alternativ mailadresse
Hvis en hacker kender en kontos brugernavn, som ofte er identisk med den del af en e-mailadresse, som står før @-symbolet, og korrekt angiver CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart), som er navnet for den funktion, hvor man skal indtaste nogle forvredne tal og bogstaver vist på skærmen, så er der ikke andet mellem hackeren og muligheden for at nulstille kontoens kodeord end det nævnte sikkerhedsspørgsmål.

Ingen af webmailtjenesterne krævede, at det ny kodeord blev sendt til en alternativ e-mailadresse, selvom det er en valgmulighed for alle tre, men processen foregik i stedet fuldstændigt online.

Adam O'Donnell, som er direktør for fremkommende teknologier hos messaging-sikkerhedsleverandøren Cloudmark, udtaler, at automatiseret kodeordsnulstilling er normalen inden for webbaseret mail, hvad enten tjenesten er gratis som Yahoo, Hotmail og Gmail eller tilbydes som en del af pakken fra internetudbyderen.

"Internetudbydere har papirtynde overskudsmarginer og et eneste supportopkald for at nulstille et kodeord vil også nulstille den måneds profit på den pågældende bruger," udtaler O'Donnell.

Oversat af Thomas Bøndergaard