Not OK, Cupid:一个关于糟糕的邮件地址验证的故事
Not OK, Cupid
文章分类
Bron Gondwana CEO
我通常不喜欢点名批评特定公司的不良行为,但这次糟糕的设计以及他们对此缺乏认知,让我觉得有必要写出来。
欢迎来到 OkCupid
几周前,我开始收到大量“Welcome to OkCupid”的邮件,不仅发到我的个人地址和几个相关地址,还发到了多个 Fastmail 官方联系地址,比如 legal、partnerships、press 等。特别值得一提的是,其中包含 trash@brong.net 这个地址,这个地址从未用于发送或接收邮件,并且只在一个地方出现过,那就是 我们博客上的一篇文章! 显然,有人抓取了我们的网站,并用这些地址进行了注册。我知道的至少有 10 个地址,但可能还有一些地址发给了其他人,或者已经不存在了。
事情还没完,我收到了大量的“有人喜欢你”、“你有一条介绍消息”,甚至还有一封“重要提示:我们移除了你在 OkCupid 上的照片”的邮件,说“我们的”账户上发布了不当内容!
糟糕的邮件验证带来的现实后果
这不仅仅是不方便,它还存在真正的安全隐患。未能正确验证邮件所有权的网站可能会被恶意利用。攻击者可以利用未经验证的注册来淹没收件箱,从而更容易地将关键邮件隐藏在噪音中 —— 我们在关于 2FA 漏洞 的文章中讨论过我们自己的经验。对于负责任地处理邮件注册,已经存在一些成熟的 最佳实践 (PDF),但 OkCupid 并没有遵循这些实践。
走投无路
当我尝试使用其中一封邮件中的一键取消订阅按钮时,我遇到了一个错误:“出了点问题,请稍后再试。”
出于好奇,我尝试恢复其中一个账户(带有我的个人邮箱地址的那个)的密码,并成功地更改了密码。然后,我被要求通过发送到与该帐户关联的号码的消息来确认我的登录。一个我不知道的号码。页面上没有提到这个号码,所以我仍然对它一无所知 —— 甚至不知道它来自哪个国家。
这引发了进一步的安全问题;攻击者也可能导致随机恢复号码被短信发送到另一个受害者的手机上。或者,他们可以确认我的电子邮件地址正在被积极监控,从而增加其在进一步攻击中的价值。无论如何,我无法真正关闭该帐户。
打地鼠
因此,我联系了 OkCupid 的支持。这是他们的回复:
我已经从网站上删除了该用户,并禁止了该电子邮件地址,以防止创建任何新帐户。这应该可以解决问题,但如果您将来再次遇到类似情况,请随时与我们联系,我们将立即解决。
所以,我需要手动联系支持部门来处理每个新的电子邮件地址。这既不具有可扩展性,也不可接受;人们没有那么多时间。
此外,我的电子邮件地址现在位于互联网上的另一个随机黑名单中,我无法控制也无法解除阻止。我不打算使用 OkCupid 的服务,但如果我将来想使用,我将不得不再次经历解除地址锁定的过程 —— 或者更有可能,将该特定电子邮件地址视为已被污染并创建另一个地址。
Not OK
所以我要说,Not OK, OkCupid。真的 Not OK。
电子邮件的效用取决于所有服务提供商的负责任行为。从事不正当或完全不当行为的公司会使互联网变得更糟。
OkCupid 未能实施即使是 最简单的形式 的电子邮件验证是不可接受的。在他们正确解决这些问题之前(而不是通过此处提供的支持回复),他们仍然是问题的一部分,而不是解决方案。
我们是否可以避免这种情况?
在这种情况下,我们在网上发布了这些地址。这样做总是存在收到垃圾邮件的风险,甚至可以合理地说“我们自找的”。我们预计会有垃圾邮件。如果您想降低被垃圾邮件攻击的风险,最好不要在公共网络上发布您的电子邮件地址!
但我们没有想到的是,一个相对有信誉的服务会被用来方便我们收到垃圾邮件。
一个很好的保护措施是为与您打交道的每个不同组织使用不同的地址 —— 这样,如果您的地址泄露(或者他们出售了它),您就知道违规行为发生在哪里,并且您可以更轻松地只阻止问题消息。
Fastmail 的 masked email 功能是实现此策略的好方法。Masked emails 的设计,特别是在与密码管理器集成时,可以非常轻松地创建新地址,并跟踪它们预期在哪里使用。
成为一名优秀的互联网公民是 Fastmail 的核心价值观之一。我们要求验证发送身份,确保只有合法用户才能从他们声称拥有的地址发送邮件。这是每个电子邮件提供商都应坚持的责任水平,我们赞赏其他也这样做的公司。