Малоизвестная уязвимость E-Mail

Эта уязвимость является результатом взаимодействия двух разных способов обработки адресов электронной почты. Gmail игнорирует точки в адресах, поэтому адрес bruce.schneier@gmail.com - это то же самое, что и bruceschneier@gmail.com, такое же, как b.r.u.c.e.schneier@gmail.com. (Примечание: у меня нет ни одного из этих адресов электронной почты, если они даже действительны.) Netflix не игнорирует точки, поэтому все они являются уникальными адресами электронной почты и могут использоваться для регистрации учетной записи. Эта разница может быть использована.

Меня почти обманули в постоянном платеже за доступ к Eve's Netflix и дело не было доведено до конца лишь потому, что я не признал отклоненную карту. В целом, фишинг-мошенничество присутствует здесь:

1. Заблокируйте форму регистрации Netflix, пока не найдете адрес gmail.com, который уже зарегистрирован. Предположим, вы нашли жертву jameshfisher .
2. Создайте учетную запись на Netflix с адресом james.hfisher.
3. Подпишитесь на бесплатную пробную версию с номером раздаточной карты.
4. После того, как Netflix применит «активную проверку карты», аннулируйте карту.
5. Подождите, пока Netflix погасит аннулированную карту. Затем электронные письма Netflix james.hfisher запрашивают действительную карту.
6. Надеемся, что Джим читает электронное письмо, пришедшее на адрес james.hfisher, и полагает, что это для его учетной записи Netflix, поддерживаемой jameshfisher, затем входит в его карточку **** 1234.
7. Измените адрес электронной почты для учетной записи Netflix на eve@gmail.com, носящий доступ Джима к этому аккаунту.
8. Используйте Netflix бесплатно навсегда с картой Джима **** 1234!

Вы об этом не знали, ведь правда? Проблема, да?

Джеймс Фишер, который написал этот пост, утверждает, что это ошибка Google. Игнорирование точек может дать людям огромное количество разных адресов электронной почты, но это не та функция, которую люди действительно хотят видеть. И пока другие сайты не следуют примеру Google, такие проблемы возможны.

Я думаю, что проблема более тонкая. Это пример двух систем без уязвимости безопасности, которые в случае объединения, создают уязвимости безопасности. Поскольку мы подключаем больше систем непосредственно друг к другу, мы сможем увидеть намного больше подобного рода случаев. И как в нашем примере взаимодействия с Google/Netflix, будет довольно сложно понять, кто, на самом деле, виноват и кто - если вообще кто-то - несет ответственность за устранение данной уязвимости.

Источник: Obscure E-Mail Vulnerability - Schneier on Security