Keputusan Yahoo Juni 2013 untuk mengatur ulang account yang telah aktif selama 12 bulan dan membuat mereka tersedia bagi pengguna lain mengangkat sejumlah keamanan dan privasi bendera merah. Dikhawatirkan bahwa potensi pencurian identitas akan tumbuh mengingat bahwa jika akun Yahoo tua dikaitkan dengan layanan online lain, pengguna baru hanya membutuhkan permintaan reset password untuk mendapatkan akses.
Yahoo berjanji untuk menempatkan mitigasi di tempat untuk mengurangi rasa takut itu, dan menunjukkan bahwa kurang dari 10 persen dari ID tidak aktif terikat dengan account email Yahoo.
Facebook, untuk satu, ingin ukuran ekstra jaminan.
Bekerja dengan Yahoo, insinyur Facebook mengembangkan ekstensi SMTP disebut Perlu penerima valid karena (RR VS) yang menyisipkan timestamp di header pesan email yang menunjukkan saat terakhir Facebook dikonfirmasi kepemilikan akun Yahoo.
"Jika akun berpindah tangan sejak konfirmasi terakhir kami, Yahoo hanya bisa drop pesan, mencegah pengiriman pesan sensitif terhadap tangan yang salah," kata Murray Kucherawy, seorang insinyur perangkat lunak di Facebook.
Facebook pada Kamis mengumumkan Permintaan RR VS untuk Komentar rancangan RFC 7293 telah disetujui sebagai Standar Diusulkan oleh IETF.
"Tujuan penggunaan fasilitas ini adalah pada pesan secara otomatis, seperti laporan rekening atau instruksi sandi-perubahan, yang mungkin berisi informasi sensitif, meskipun juga mungkin berguna dalam aplikasi lain," kata draft.
Facebook mengatakan keprihatinannya adalah perlindungan dari rekening yang terhubung ke akun Yahoo daur ulang yang bisa diambil alih oleh alamat email Yahoo daur ulang. Menggunakan ekstensi RR VS, pengirim dapat mencegah pesan dari yang dikirim kepada siapa pun oleh penerima yang dimaksud yang dimiliki kotak surat pada titik tertentu dalam waktu.
"Sebuah sistem penerima dapat membandingkan informasi ini terhadap titik waktu di mana alamat ditugaskan untuk pengguna saat ini," kata draft. "Jika tugas itu dibuat paling lambat titik waktu yang ditunjukkan dalam pesan, ada kesempatan baik pengguna saat alamat bukanlah penerima yang benar. Sistem penerima kemudian dapat mencegah pengiriman dan, disukai, memberitahukan pengirim asli dari masalah. "
Ini bukan perampokan pertama Facebook ke dalam melindungi penggunanya dan email. Pada bulan Mei, perusahaan membuat permohonan ke email penyedia mendesak mereka untuk mulai mendukung STARTTLS. Pada bulan Agustus, Facebook mengatakan bahwa 95 persen dari email pemberitahuan keluar nya berhasil dienkripsi dengan sempurna Teruskan Kerahasiaan dan validasi sertifikat di tempat dengan pengirim dan penerima.
Baru minggu lalu, Facebook mengumumkan bahwa mereka mengembangkan alat yang tambang menyisipkan situs seperti Pastebin, Github dan forum hacker mencari kredensial dicuri yang cocok dengan milik akun Facebook. Langkah ini merupakan reaksi terhadap ruam pelanggaran data baru-baru ini menargetkan kredensial dicuri. Jika mandat Facebook ditemukan, Facebook mengatakan bahwa hal itu akan memberitahu pengguna yang bersangkutan.
Pengumuman itu datang pada tumit sedikit lain dari berita bahwa Facebook akan menggandakan pembayaran karunia melalui akhir tahun untuk kerentanan ditemukan dalam kode iklan.
Reference: ThreatPost
0komentar:
Post a Comment