14 Şubat 2015 Cumartesi

Yandex E-Mail Güvenlik Zaafiyeti

Kısa bir süre önce Yandex E-posta servisinde önemli bir güvenlik zaafiyetine rastladık. Ben hemen kendilerine durumu bildirdim ancak Yandex ekibi bu durumun kendi bilgileri dahilinde olduğunu, kullanıcı sözleşmesinde de yazdığını belirttiler.

Diğer e-posta sağlayıcılardan çok daha farklı bir yol izleyen Yandex açıkçası beni şaşırttı. Şimdi bu zaafiyetin ne olduğunu görelim:

Zaafiyet, silinen kullanıcı adlarının başka bir kullanıcı tarafından alınabilmesi üzerine kurulu. Yani bir Yandex e-postanız varsa ve bunu sildiyseniz, 6-12 ay süre sonra gidip birileri bu e-postanın aynısını alabiliyor.
Örneğin sizin yazışmaları yaptığınız bir e-posta adresiniz var ya da bir yerlere kullanıcı adıyla giriş yaptığınız ve kayıt olduğunuz e-posta adresini unuttuğunuz bir portal. Heh işte, buradaki bütün bilgiler tehlikede demek. Ancak işin daha kötüsü gelmedi.

İşin daha kötüsü, diyelim ki Yahoo'dan bir hesap açtınız. Açtığınız bu hesaba da Yandex e-postanızı ikinci bir e-posta olarak girdiniz ve daha sonra bunu unuttunuz. Sonuçta gizli sorularımızı bile %90 unutan insanlarız.
Daha sonra yaşadığınız bazı şeylerden dolayı bu Yandex e-posta servisini sildiniz ve ben 6 ay sonra geldim aldım bu Yandex e-posta hesabını, aynı kullanıcı adıyla. Tabi sizin haber vermeyi unuttuğunuz bağlantılarınıza e-posta atabilir, hatta Yahoo'dan değiştirmediğiniz ikinci e-posta adresiniz olan Yandex e-posta adresinizi parola sıfırlamak için kullanıp elimi kolumu sallaya sallaya Yahoo hesabınızda (Yahoo burada örnek) ve Yahoo'ya bağlı tüm hesaplarınızda fink atabilirim. Ne kadar güzel değil mi? Bir de Yandex'in bana verdiği cevap var tabi. Konu ile biraz alakalı.
Kendileri sanırım beni yanlış anladı. He bu arada, bu madde kullanıcı sözleşmesinde yer alıyor. Dikkat edin.
Unutmadan belirteyim, Gmail, Yahoo, Outlook gibi servislerde bunu yapmanız imkansızdır. Burada bir kullanıcı adı kaydedildiği zaman ve silinse bile bir daha kesinlikle kimlik doğrulaması yapmadan geri alınamamaktadır.
Yandex e-postanız varsa, iptal etmeyiniz derim ben. Sözleşmeleri oldukça enteresan.