Surgem problemas de segurança na reciclagem de usernames do Yahoo

há 10 anos e 7 meses • Atualizado há 2 semanas

Há cerca de três meses, o Yahoo disponibilizou uma lista de desejos de usernames que estivessem inativos no seu serviço de email. Você podia criar uma lista de até cinco nomes que gostaria de ter, caso estivessem disponíveis, e, se depois de um período de verificação eles de fato estivessem sem uso, você poderia ser o felizardo novo dono dessa conta.

Mas, apesar dos esforços do Yahoo para driblar todos os problemas de segurança que isso poderia trazer, ainda há alguma falha, já que usuários que adotaram o email “reciclado” começaram a receber mensagens destinadas aos antigos donos.

O InformationWeekly.com reuniu algumas histórias de pessoas que disseram ter recebido emails que continham informações pessoais dos antigos donos dos usernames; um deles, o especialista em segurança (ironias da vida) Tom Jenkins, afirmou ter mensagens que possibilitariam que ele acessasse as contas do Facebook e do Pandora da pessoa – o que seria bem chato mas, convenhamos, menos preocupante que saber o endereço, telefone, lugar onde os filhos estudam e últimos dígitos do Social Security (tipo o CPF americano). Só que Jenkins também recebeu emails que continham esses dados.

A pessoa deu sorte de ter caído nas mãos de alguém bem intencionado, que preferiu entrar em contato com o Yahoo para informar do ocorrido em vez de utilizar as informações para fazer sei lá o quê. Mas, como nem todo mundo é assim, a situação é bem preocupante.

Não é como se o Yahoo não esperasse que isso poderia acontecer. Com isso em vista, até tomou uma medida de precaução bem interessante. A empresa criou o RRVS, sigla de Require-Recipient-Valid-Since, um item no cabeçalho que previne o roubo de senhas de serviços. Ele bate a data que o email foi utilizado pela última vez para confirmar algo com a data que recebeu um novo dono; se forem conflitantes, a mensagem não é entregue.

A ideia é boa e parece eficaz na maior parte dos casos, mas há alguma falha; talvez o problema seja que a adoção do RRVS não foi feita por todas as empresas. De qualquer forma, o Yahoo declarou ao InformationWeekly.com que as reclamações foram feitas por pouquíssimos usuários e que continua se esforçando para que o RRVS se torne um padrão, além de reafirmar o comprometimento com a segurança e a privacidade de seus usuários.

Fica a recomendação de que é sempre bom manter o email de cadastro de tudo quanto é site atualizado, no caso de outros serviços de email terem a mesma ideia do Yahoo (o que não é uma ideia tão absurda, já que dar uma limpada nos usernames inúteis liberaria bastante espaço nos servidores). Afinal, você nunca sabe nas mãos de quem seus dados podem acabar indo parar…

Relacionados