Mi idea es que un proveedor de correo electrónico popular (por ejemplo, Gmail) permita a los usuarios crear direcciones de correo electrónico desechables generadas automáticamente que son alias para su cuenta principal, con el fin de detectar violaciones de datos en las compañías a las que los usuarios envían su dirección de correo electrónico. (Nota: soy consciente de que esta función existe en algunos proveedores de correo electrónico poco utilizados, pero eso no resuelve este problema, por las razones que se explican a continuación).
De esta manera, cuando creas una cuenta con una empresa como eBay, creas un alias de correo electrónico desechable para esa empresa, y anotas el alias con una nota como "Enviado a eBay el 29 de junio de 2018". Los mensajes a ese alias aún se reenvían a su bandeja de entrada. Pero si alguna vez recibe un correo no deseado enviado a esa dirección, sabe que la base de datos de los miembros de esa compañía se vio comprometida.
Ahora, obtener correo no deseado en esa dirección no garantiza absolutamente que la base de datos de los miembros de la compañía se haya visto comprometida, tal vez alguien instaló malware en la máquina del usuario que capturó su alias mientras lo generaban. Sin embargo, si muchos usuarios comienzan a recibir correo no deseado simultáneamente en la dirección de alias que generaron para eBay (pero no en las direcciones de alias que generaron para otros sitios), y todos comienzan a quejarse de ello en Facebook, esto significa que eBay probablemente se vio comprometida. .
Ahora sé que hay opciones que parecen casi-pero-no-bastante de esta manera, pero he aquí por qué no creo que resuelvan este problema:
-
los proveedores de correo electrónico poco utilizados que te permiten crear alias desechables para tu dirección de correo electrónico, como lo describo. Esto permite que el usuario individual descubra en qué servicio se produjo la infracción y bloquee los correos electrónicos futuros a esa dirección. El problema con estos servicios es que si alguno de estos sitios se conoce generalmente como una forma de detectar infracciones, y si el atacante quiere demorar la detección de la infracción, puede evitar enviar correos a las direcciones en esa lista, siempre y cuando El dominio del correo electrónico no se usa ampliamente, el atacante no renunciará a mucho. Por lo tanto, esto ayudaría al usuario individual a evitar el spam de las violaciones de datos, pero no les ayudaría a contribuir al crowdsourcing en la detección de esas violaciones de datos. (Además, si se trata de una empresa poco conocida, ¿quién sabe si estará disponible por mucho tiempo? Si se cierran, debe cambiar todas las direcciones de correo electrónico de sus miembros a un nuevo dominio). La única forma de evitar este problema es si el proveedor de correo electrónico es un proveedor de servicios popular como Gmail, Hotmail, etc.
-
adjuntar algo con un signo "+" como [email protected] al final de su dirección de correo electrónico. Esto no funciona porque el atacante puede eliminar fácilmente la "+ customextension" de todas las direcciones de correo electrónico antes de enviarlas por correo basura.
Por lo tanto, mis preguntas son:
- ¿Hay alguna razón en particular por la que esto no funcionaría y no brindaría un servicio público valioso para detectar violaciones de datos?
- ¿Se ha discutido o promovido esta idea en otra parte? Porque no he encontrado nada que defienda este enfoque. (Recuerde, estoy hablando específicamente sobre un impulso para que un importante proveedor de correo electrónico adopte esto como una característica, no si esta característica existe en un servicio de correo electrónico poco conocido. Si es un proveedor de correo electrónico poco utilizado está ofreciendo este servicio, que resuelve el problema para el usuario , pero no resuelve este problema, que es un crowdsourcing escalable de detección de violaciones.)