Facebook e Yahoo Criam Protocolo Que Evita “Roubo” de Contas a Partir de Emails Reciclados
Talvez você se lembre que, no ano passado, o Yahoo causou polêmica ao liberar nomes de logins inativos para outros usuários. O problema é que este procedimento pode fazer donos de endereços reciclados acessarem contas dos antigos usuários em outros serviços. Em parceria com o Facebook, o Yahoo conseguiu oficializar a solução: o RRVS (Require-Recipient-Valid-Since), uma extensão do protocolo SMTP.
Para que você possa entender melhor, imagine que Fulano se cadastrou no Facebook com o email “fulano@yahoo.com”. Esta conta ficou muito tempo inativa e o Yahoo acabou liberando-a para outro usuário. O problema é que, certo dia, Fulano esqueceu a sua senha do Facebook e utilizou a opção “lembrar por email”. O que aconteceu? A mensagem para resetar a senha foi enviada para o novo dono do endereço “fulano@yahoo.com”.
As chances de um problema como este acontecer são remotas, mas todo risco é um risco. É por isso que Yahoo e Facebook (a ideia partiu deste último, na verdade) criaram o RRVS. Basicamente, esta extensão insere dados no cabeçalho dos emails para que os sistemas possam determinar a última vez que o endereço foi utilizado para alguma ação.
Com o RRVS, o Yahoo Mail recebe o email de lembrete ou reset de senha, verifica se a data da última ação daquele endereço é anterior à entrega do login ao novo dono e, caso positivo, não envia a mensagem e notifica o serviço emissor – o Facebook, no caso do Fulano. Assim, a rede social tentará outra forma de contato com o usuário.
O RRVS teve a sua proposta apresentada no ano passado, mas só agora foi publicado como um padrão pela Internet Engineering Task Force. Com isso, outras empresas também poderão utilizá-lo.
Se a adesão será significativa, é difícil saber, mas há potencial. A Microsoft, por exemplo, também costuma liberar logins inativos e pode se interessar. Além disso, a implementação do RRVS não é, a princípio, uma tarefa dispendiosa.
Enquanto isso, a novidade vale apenas para o Yahoo Mail e o Facebook.
Fonte: Tecnoblog.net
- Metasploit Framework de cabo a rabo – Parte 6 - 4 de junho de 2018
- Metasploit Framework de cabo a rabo – Parte 5 - 28 de maio de 2018
- CEH – Scanning Networks – Parte 2 - 24 de maio de 2018