idea para detectar violaciones de datos permitiendo a los usuarios crear alias de correo electrónico de un solo uso con un solo clic

0

Mi idea es que un proveedor de correo electrónico popular (por ejemplo, Gmail) permita a los usuarios crear direcciones de correo electrónico desechables generadas automáticamente que son alias para su cuenta principal, con el fin de detectar violaciones de datos en las compañías a las que los usuarios envían su dirección de correo electrónico. (Nota: soy consciente de que esta función existe en algunos proveedores de correo electrónico poco utilizados, pero eso no resuelve este problema, por las razones que se explican a continuación).

De esta manera, cuando creas una cuenta con una empresa como eBay, creas un alias de correo electrónico desechable para esa empresa, y anotas el alias con una nota como "Enviado a eBay el 29 de junio de 2018". Los mensajes a ese alias aún se reenvían a su bandeja de entrada. Pero si alguna vez recibe un correo no deseado enviado a esa dirección, sabe que la base de datos de los miembros de esa compañía se vio comprometida.

Ahora, obtener correo no deseado en esa dirección no garantiza absolutamente que la base de datos de los miembros de la compañía se haya visto comprometida, tal vez alguien instaló malware en la máquina del usuario que capturó su alias mientras lo generaban. Sin embargo, si muchos usuarios comienzan a recibir correo no deseado simultáneamente en la dirección de alias que generaron para eBay (pero no en las direcciones de alias que generaron para otros sitios), y todos comienzan a quejarse de ello en Facebook, esto significa que eBay probablemente se vio comprometida. .

Ahora sé que hay opciones que parecen casi-pero-no-bastante de esta manera, pero he aquí por qué no creo que resuelvan este problema:

  • los proveedores de correo electrónico poco utilizados que te permiten crear alias desechables para tu dirección de correo electrónico, como lo describo. Esto permite que el usuario individual descubra en qué servicio se produjo la infracción y bloquee los correos electrónicos futuros a esa dirección. El problema con estos servicios es que si alguno de estos sitios se conoce generalmente como una forma de detectar infracciones, y si el atacante quiere demorar la detección de la infracción, puede evitar enviar correos a las direcciones en esa lista, siempre y cuando El dominio del correo electrónico no se usa ampliamente, el atacante no renunciará a mucho. Por lo tanto, esto ayudaría al usuario individual a evitar el spam de las violaciones de datos, pero no les ayudaría a contribuir al crowdsourcing en la detección de esas violaciones de datos. (Además, si se trata de una empresa poco conocida, ¿quién sabe si estará disponible por mucho tiempo? Si se cierran, debe cambiar todas las direcciones de correo electrónico de sus miembros a un nuevo dominio). La única forma de evitar este problema es si el proveedor de correo electrónico es un proveedor de servicios popular como Gmail, Hotmail, etc.

  • adjuntar algo con un signo "+" como [email protected] al final de su dirección de correo electrónico. Esto no funciona porque el atacante puede eliminar fácilmente la "+ customextension" de todas las direcciones de correo electrónico antes de enviarlas por correo basura.

Por lo tanto, mis preguntas son:

  1. ¿Hay alguna razón en particular por la que esto no funcionaría y no brindaría un servicio público valioso para detectar violaciones de datos?
  2. ¿Se ha discutido o promovido esta idea en otra parte? Porque no he encontrado nada que defienda este enfoque. (Recuerde, estoy hablando específicamente sobre un impulso para que un importante proveedor de correo electrónico adopte esto como una característica, no si esta característica existe en un servicio de correo electrónico poco conocido. Si es un proveedor de correo electrónico poco utilizado está ofreciendo este servicio, que resuelve el problema para el usuario , pero no resuelve este problema, que es un crowdsourcing escalable de detección de violaciones.)
pregunta Bennett 29.07.2018 - 23:50
fuente

1 respuesta

1

Puedo ver varias razones por las que los grandes proveedores no querrían hacer esto, aunque no todos son desde un punto de vista de seguridad.

En primer lugar, ya tienen una gran cantidad de direcciones de correo electrónico que, en algún momento, un humano seleccionado, y muchas de ellas son terribles: al final tienen una larga serie de números aleatorios, y no son memorables incluso para los propietarios. Agregar la capacidad para que cada usuario genere más direcciones de correo electrónico reduciría aún más el suministro de nombres de usuario de correo electrónico aceptables, especialmente porque quiere que no se puedan distinguir de las direcciones principales (de lo contrario, su objeción a agregar + compañía también se aplica a estas).

En segundo lugar, ya proporcionan el patrón de capacidad de filtrado (la + empresa), que funciona "suficientemente bien" para la mayoría de las personas. Se puede omitir fácilmente, es cierto, pero también se puede usar para otros fines, por lo que es esencialmente una función de bonificación (por lo que puedo decir, se preveía que las empresas pudieran enviar envíos de formularios a carpetas automáticamente al establecer la dirección de envío a + feedback, + quejas, etc.). Los alias también están integrados, y si eres un cliente pagado con tu propio dominio, puedes usarlos tanto como quieras.

Esto nos lleva al tercer punto: efectivamente ofrecen esto para las personas que ya les pagan por el servicio. Podría considerarse un incentivo para suscribirse, en lugar de simplemente utilizar el servicio gratuito.

En este caso, no parece haber un gran beneficio para los proveedores de correo electrónico. Después de todo, son negocios y han hecho un gran esfuerzo para detectar el spam y ocultarlo de los usuarios. Si estás viendo spam, no se filtran, y si los usuarios no ven el spam, no van a hablar de ello.

Si quisieran detectar posibles infracciones, probablemente tengan los datos de todos modos: busque direcciones de correo electrónico que reciban mensajes de servicios específicos, realice referencias cruzadas con mensajes no deseados y haga una llamada en función de la probabilidad. Probablemente, esto sería más confiable que el enfoque de colaboración colectiva, ya que hay más datos disponibles.

    
respondido por el Matthew 30.07.2018 - 11:11
fuente

Lea otras preguntas en las etiquetas