English version will be posted tomorrow

Se pot scrie extrem de multe randuri referitoare la intimitatea unui utilizator de internet. Eu voi scrie pentru moment doar cateva aspecte importante.

Dupa cum spunea si RSnake intr-un articol pe care nu am avut rabdarea sa il mai caut, oamenii vor sa dea click pe link-uri si sa se inregistreze pe cat mai multe site-uri. Primesti un link pe messenger? Da click pe el fara sa te gandesti prea mult. Intri pentru prima data pe un site? Ai grija sa te inregistrezi pe el cu datele tale reale, cu adresa ta de mail in care iti tii datele bancare si documente personale. Stai asa putin! De ce sa nu folosesti aceeasi parola peste tot?

Nu stiu cati dintre voi cunosc povestea lui VisUrat si intamplarile lui cu un joc online romanesc. Varianta “pe scurt” este urmatoarea: s-a luat in gura cu adminii site-ului respectiv, adminii au avut grija sa ii inchida contul si sa testeze in mai multe locuri parola pe care si-o setase baiatul cand si-a facut cont pentru a se juca. Si ca sa vezi, parola din joc (care se spune ca era salvata in plain text) era aceeasi cu cea a contului de mail pe care VisUrat il folosea si pentru comunicarea pe messenger.  Au urmat o serie de mass-uri pline de cuvinte dulci la adresa celor din lista si cam asta a fost. Baiatul a luat masuri, a reclamat, el stie mai exact ce a rezolvat si daca acuzatiile s-au dovedit a fi reale. Cred ca va raspunde daca il intrebati. 

Revenim. Conturile importante de mail nu trebuiesc folosite la inscrieri pe site-uri inutile. Nu trebuiesc folosite la instant messaging. Nici sa le pui pe pagina personala de hi5. NICIODATA (si chiar sunt foarte serios cand spun NICIODATA) nu trebuie sa folositi aceeasi parola pe care o aveti la conturile importante (de orice fel), pentru a va inscrie pe diferite site-uri. (Foarte) preferabil e sa folositi si o adresa de mail pe care nu tineti nimic important. Intr-un articol viitor o sa va explic mai amanuntit de ce.

Acum partea dulce a articolului. Unii dintre cititori stiu aceste metode asa ca s-ar putea sa se plictiseasca.

Dam o situatie fictiva ca ne place sa facem asta.

Leana e vedeta. Deci persoana publica. Si Leana are cont de mail la Yahoo! (doar un exemplu). Yahoo! mail are optiunea  de forgot password. Eu vreau sa ii iau parola. Pana aici e destul de simplu nu? Bun. Trecem mai departe.

Dau click pe “forgot password”, trec peste chestiile evidente si ajung pe pagina unde se cer urmatoarele:

1. Birthday – Data nasterii

2. Country of residence – Tara

3. Postal Code – Cod Postal 

Acum totul tine de informatiile gasite pe net si de putin noroc. Daca Leana a folosit la inregistrare datele reale totul e perfect. Daca nu… slabe sperante sa trec de acest pas.

Cautam data nasterii pe net. Google este cel mai bun ajutor desigur. Un simplu dork de genul intext:”Leana s-a nascut la data de”  imi poate aduce deja primele informatii. Ca o mica paranteza trebuie sa precizez ca sunt sanse mari ca informatiile respective sa le gasesc pe wikipedia.com. Nu-i asa ca e frumos internetul? Revenim. Vad data nasterii si completez casutele de pe pagina Yahoo. Country of residence… hai ca nu e greu. Incercam Romania? Daca s-a mutat din tara aflam unde e acum si schimbam. Nu e bai. Poate merge. Ramane postal code. Aici e putin mai dificil.

Multi au obiceiul de a folosi ca zip pentru Romania numerele 7000 sau 70000. Din cate am vazut la inregistrarea conturilor noi de Yahoo! trebuie folosit un numar format din 6 cifre. Ceea ce e bine, ca ii baga pe oameni in dubii si pun numere alandala. Totusi sa zicem ca este un cont mai vechi si folosim 7000 sau 70000. Daca nu merge aici se termina totul. Exista sansa ca pe pagina de profil sa gasim zip-ul contului dar nu multa lume completeaza acea pagina.

Sa spunem ca a functionat si am trecut mai departe. Acum intrebarea secreta. Cum il cheama pe animalutul tau? Google rapid. Zic astia din CanCan ca i-a cumparat pisicii o zgarda de diamante. Citim, citim si gasim o declaratie “Mitzi e ca un copil pentru mine”. Ahaaa, deci Leana are o pisica pe care o cheama Mitzi. Si incerc mai departe. Daca depasesc si acest pas obtin parola noua. E greu, functioneaza foarte greu metoda, dar in unele cazuri da rezultate neasteptate. 

Cel mai simplu e in cazul conturilor Gmail. Acolo ai nevoie doar de raspunsul la intrebarea secreta. Chiar daca posibila victima are mail alternativ trecut in cont, tot ce trebuie sa faci e sa ai rabdare cateva zile pentru a ajunge la pagina unde dai raspunsul la intrebarea secreta. Pentru ca este un feature minunat.

Hi5. Este cool nu? Probleme:

1. Ai poze pe el. Ca e la moda.

2. Nu poti sterge definitiv contul.

3. Pozele raman stocate pe server chiar daca iti inchizi contul.

4. In cookie se afla adresa de mail pe care o ai la cont.

5. E (inca) vulnerabil la xss. Deci se poate fura cookie. Deci se poate afla adresa de mail.

6. Poti face cont de pe mailul oricui. Nici macar nu e nevoie sa fie mailul tau sau sa confirmi ceva. Exista o confirmare dar nu este obligatorie. Important e sa nu existe deja acel mail in baza de date a hi5. 

7. Cireasa de pe tort: bagi adresa de mail in casuta de search si iti apare contul facut pe acea adresa de mail. Si da, inca functioneaza.

Va urma… muuuult mai mult

Related Posts

• February 26, 2011 -- Ce nu se invata la scoala – Vendetta (6)
• February 22, 2011 -- Idei mai putin constructive (sau…?)
• August 9, 2010 -- Virusi in clipuri video [how to]
• February 26, 2009 -- Internet vs. privacy (2)