В июне 2013 года Yahoo сообщила о решении «оживить» email-аккаунты, которые были неактивны в течение года, и предоставить их для повторного использования другим владельцам. Это вызвало много опасений в отношении безопасности и приватности других аккаунтов, привязанных к ящикам Yahoo. Эксперты предупреждали, что это откроет новые лазейки для кражи личности, если email Yahoo использовался для регистрации на других сервисах и в соцсетях. В этом случае новому пользователю понадобилось бы только отправить запрос на смену пароля.

Yahoo пообещала обеспечить дополнительные меры безопасности и указала, что к ящикам Yahoo привязаны менее 10% неактивных пользовательских профилей. Но Facebook, например, требовались более надежные гарантии. Совместно с Yahoo специалисты из Facebook разработали SMTP-расширение, которое получило название Require-Recipient-Valid-Since (RRVS). Оно позволяет внедрять в заголовок почтового сообщения отметку времени, указывающую, когда Facebook последний раз подтверждала наличие привязки к данному ящику Yahoo.

«Если с даты последнего подтверждения аккаунт сменил владельца, Yahoo просто не отправит сообщение, чтобы предотвратить попадание конфиденциальной информации не в те руки», — пояснил Мюррей Кучерави (MurrayKucherawy), инженер-программист из Facebook.

На прошлой неделе Facebook объявила о том, что рабочее предложение для стандартизации расширения RRVS под номером RFC7293 получило статус предложенного стандарта в IETF.

«Предполагается, что данный стандарт будет действовать для автоматически генерируемых сообщений электронной почты, например отчетов о состоянии аккаунта или инструкции по замене пароля, которые могут содержать конфиденциальную информацию. Тем не менее данный подход также может быть с пользой применен в других областях», — говорится в документе.

В Facebook сообщили, что основным поводом для беспокойства стала потенциальная опасность получения третьим лицом доступа к пользовательским профилям, привязанным к повторно используемому ящику Yahoo. Задействуя RRVS-расширение, отправитель может быть уверен, что сообщение, предназначенное известному ему владельцу ящика Yahoo, не попадет в чужие руки.

«При получении письма система сопоставляет информацию отправителя с данными о том, когда данный адрес был зарегистрирован на текущего владельца, — говорится в RFC7293. — Если электронный адрес был зарегистрирован на текущего пользователя позже, чем дата, указанная в заголовке, существует вероятность того, что пользователь данного адреса не является получателем письма. В этом случае принимающая сторона не осуществляет доставку письма и уведомляет об этом отправителя».

Категории: Мошенничество