Ostatnie wydarzenia z Twitterem spowodowały, że zajrzałem do archiwum mojego maila (gmail) aby sprawdzić co by się stało gdyby mi się przydarzyło włamanie do poczty. Powiem szczerze, że to co znalazłem trochę mnie przeraziło. Oczywiście można powiedzieć, że mówię o banałach bo przecież każdy wie, że nie można wszystkiego trzymać w jednym miejscu, że ważne dokumenty powinny być pozabezpieczane itp.

Proponuję wam jednak zrobić drobny test. Pierwszym z nich będzie wpisanie używanych przez was haseł. W moim przypadku wynik takiego zapytania był porażający. Okazało się, że kilkanaście serwisów po rejestracji odesłało mi w mailu moje hasło. Łatwo sobie można wyobrazić jaka była by to gratka dla włamywacza. Oprócz własnych haseł warto również w wyszukiwarkę wpisać takie wyrażenia jak “hasło” czy “password” – znajdziemy wtedy więcej informacji o serwisach w których się rejestrowaliśmy ale zapomnieliśmy o nich czy też wpisaliśmy inne niż nasze standardowe hasło.

Najlepszą obroną jest atak – takie motto wisi chyba w pokoju dyrektora PR, który tak oto komentuje chyba jedną z większych wpadek informatycznych banku PEKAO w tym roku

To pomysłowość internautów – trzeba było przecież specjalnie wstukać określony adres. Można było oczywiście wymyślić bardziej skomplikowany. Ale musi być jakieś miejsce na serwerze, gdzie fizycznie przechowywane są takie dane.

W dniu wczorajszym, na blogu oficjalnym usługi Gmail pojawiła się notka dotycząca nowych funkcji poczty, mających zwiększyć bezpieczeństwo użytkowników. Erwin D’Souza pisze w niej o tym, że developerzy Google są świadomi jak użytkownicy Gmail korzystają ze swojej poczty. Wielu z nich przegląda swoją skrzynkę za pośrednictwem kilku komputerów dziennie lub nawet korzystając z urządzeń mobilnych umożliwiających przeglądanie internetu.

Pierwszą z nowych funkcji jest możliwość zdalnego wylogowania z otwartych sesji poczty. Funkcja ta przydatna jest w szczególności, gdy jak wspomniałem korzystamy z kilku stanowisk. Gdy przypadkowo zostawimy, na którymś z nich zalogowany Gmail, możemy bez problemu sprawdzić to i wylogować wszystkie sesje naciskając jeden przycisk.

Serwis Coding Horror opublikował informacje o tym, że program do archiwizacji poczty gmail o nazwie g-archiver oprócz spełniania swojej funkcji miał również “zaszyte” w programie polecenie do wysyłania haseł i loginów użytkowników na adres skrzynki pocztowej autora programu (Johna Terry).

Coding Horror został o powyższym fakcie poinformowany przez jednego z czytelników który przejrzał kod programu i znalazł funkcję wysyłającą hasła i loginy na na sztywno wpisaną nazwę skrzynki pocztowej (hasło również było zaszyte w programie). Czytelnik sprawdził tą skrzynkę i okazało się, że zawiera ona ponad 1,700 maili z danym użytkowników programu g-archiver, przerażony zablokował skrzynkę a o całym fakcie poinformował Coding Horror.

Trudno jest arbitralnie stwierdzić jak tego typu kod znalazł się w programie g-archiver – czy stworzył go autor programu czy też został gdzieś “po drodze” dodany.

Historia ta jest ciągle żywa w komentarzach na Coding Horror (164 komentarze oraz 173 blog reactions).

G-archiver to również przykład na to jak bardzo trzeba być ostrożnym w korzystaniu z programów i serwisów w których podajemy dane dotyczące dostępu do jakichkolwiek naszych zasobów w internecie.

Oczywiście jeśli ktoś z was jest użytkownikiem tego feralnego programu polecam jego szybką deinstalacje i zmianę hasła w gmail na nowe (przy okazji warto sprawdzić wszelkie ustawienia naszej poczty takie jak forward itp).