Hoeveel naaktfoto’s van uw familie worden er via GMail verstuurd?? Vul uw e-mailadres en wachtwoord in en ontdek het nu!!
.
.
.
Stom, juist?
Ik bedoel, hoe achterlijk kan iemand zijn om zijn emailadres en wachtwoord in te vullen op een wildvreemde pagina?
Wel: ik garandeer u dat ik een resem adressen binnen ga krijgen.
Phishing, heet zoiets. Achterlijk en kinderlijk en belachelijk doorzichtig phishing, hierboven, maar toch: phishing.
Doen alsof ik gevoelige gegevens nodig heb om iets anders te weten te komen, en hoplaboem, uw account is gecompromitteerd, ik heb uw loginnaam en wachtwoord, ik kan doen alsof ik u ben, ik kan uw adresboek downloaden, bestellingen plaatsen in uw naam, dingen te weten komen van uw vrienden, allerlei.
Het is ontstellend te zien hoe gemakkelijk mensen tegenwoordig gevoelige gegevens doorgeven aan wildvreemden. In het echt ook, natuurlijk–in een groot bedrijf bellen naar de eerste de beste wildvreemde: “Hallo, Johan Vereecken van ICT hier. Ik zie een ticket openstaan op uw PC, kunt u hem even delen? … gewoon op de ‘share’-knop onderaan rechts duwen mevrouw. … tiens, geen knop, da’s vreemd. Wat is uw accountnaam? OK, even nakijken… vreemd. Het systeem vindt u precies niet. Ik zal op een andere manier proberen. Wat was uw wachtwoord alstublieft?” — gegarandeerd prijs.
Maar op het internet, waar het goed is als 0.01% van de mensen erin trapt? Allerlei toestanden die telkens een naam en wachtwoord vragen, en geen mens natuurlijk die voor elk van die dingen een aparte naam en een apart wachtwoord gebruikt. Of tooltjes die gebruikt worden om naar Flickr te uploaden, uw mail na te kijken, uw blog te onderhouden… en geen mens die er zeker van is wat er met die persoonlijke gegevens gebeurt.
Onlangs kwam het redelijk pijnlijk aan de orde door Twitterank, een ding dat Twittergebruikers een nietszeggend cijfer teruggaf, op voorwaarde dat ze hun naam en wachtwoord overhandigden.
Dit is een screenshot [via] van de broncode van de Twitterank-pagina, sindsdien aangepast:
Ik wil de computerexperten hier te lande geen eten geven die erin getrapt zijn.
De regel is nochtans heel erg eenvoudig: geef nooit uw naam en wachtwoord voor een website of dienst aan iemand of iets anders dan die website of dienst.
Als een Facebookapplicatie of Flickr-ding of, jawel, Twitter-ding, u om uw wachtwoord vragen, dan zijn ze verkeerd bezeig. Al die moderne applicaties hebben een API om dergelijke nonsens te vermijden.
(Jaja, ondertussen zegt de man dat het allemaal maar om te lachen was en zo. He would say that, wouldn’t he? Ik zou ook niet graag een advokatenbrief in mijn brievenbus krijgen.)
Reacties
15 reacties op “Twitterank en u”
euh, misschien een beetje too on topic, maar, euh, wat is een API? En als Picassa Web Ablums Uploader mij om login en paswoord vraagt, (hoe toevallig) ook de sleutel tot mijn mailbox, zet ik dan de deur wijd open?
Om maar te zeggen: voor een average gebruiker is het soms ook gewoon niet duidelijk.
zig.
Als ik me niet vergis is het met Twitter niet zo eenvoudig en voldoet de API niet. Maar los daarvan: wie zegt dat twhirl niet naar huis telefoneert? Waar trek je de lijn?
Er zijn een hoop systemen zoals ping.fm die allerlei twitter achtige applicaties aanspreken en waar je dus vanuit 1 centraal punt dezelfde ’tweet’ zowel naar twitter, pownce, identi.ca,… kunt sturen. Die vragen ook achter je wachtwoord omdat de API’s van dergelijke systemen niet voldoen. Edoch maken veel mensen daar gebruik van. Toen die hun dienst lanceerde heb ik toch nergens iets van phishing berichten gelezen.
@Jensen: Je moet het breder dan dat zien. Het gaat er niet alleen om dat het juist Twitter is die dat vereist. Het gaat erom dat er een slechte gewoonte wordt aangeleerd: dat het normaal en veilig zou zijn dat applicatie X of Y het paswoord van sociale site A of B vragen om te kunnen werken.
En dat terwijl er een pak deugdelijke technologie bestaat om dit soort dingen juist te vermijden en we gebruikers op de vingers tikken als ze gehacked worden omdat ze hun paswoord hebben doorgegeven.
Er zijn mogelijkheden genoeg om dit soort zaken te vermijden. Jammer genoeg zijn dingen als OpenId nog niet genoeg geïntegreerd…
OpenID en OAuth zijn niet eens zo relevant. Ik denk dat je het delegated authentication met token exchange zou noemen en dat is ouder dan het internet zelf.
Dit is niet moeilijk en een site als Flickr had lang lang geleden al een bijzonder bruikbaar systeem hiervoor opgezet. Dit is niet moeilijk maar bij Twitter krijgen we er geen features meer bij, die zijn te druk bezig de servers levend te houden en de investeerders te plezieren.
Je hebt gelijk, mensen zouden dat niet mogen doen. Er bestaat echter geen alternatief voor twitter. Ze zijn er mee bezig, omdat ze het probleem erkennen. Maar zo lang er geen oplossing is, en je wil meespelen met alle plezante twitter apps, moet je af en toe eens je password invullen. 🙂
Het beste wat je kan doen imo, is je password regelmatig wijzigen. De meeste van die twitter apps zijn toch maar ‘effe kijken wat het is en dan nooit meer’ – apps.
Gaat er iemand ooit antwoorden op de vragen van zigzag? Want de rest van wat er in de comments staat is keihard Chinees!
Maar wel een nuttig artikel, Michel!
@ Els: misschien maakt dit artikel het wat duidelijker?
Failblog is er ook wel boenk op:
http://failblog.org/2008/11/14/scam-fail/
[…] voor je login en je paswoord op Twitter, krijg je een bepaalde score. Ik kan mij alleen maar bij Michel aansluiten als hij zegt: “hoe achterlijk kan iemand zijn om zijn emailadres en wachtwoord in […]
Paswoorden proberen te vangen van pc’s of applicaties voor internetbankieren, dat lijkt me nog zinvol. Maar wat zou die kerel kunnen aanvangen met de duizenden Twitter-accounts die hij op deze manier in zijn bezit krijgt?
Wel… handen omhoog iedereen die speciaal voor Twitter een nieuw wachtwoord uitgevonden heeft dat nog nooit ergens elders gebruikt werd?
[…] 15 november 2008, 7:02 pm Ingedeeld onder: Tinternet | Tags: Facebook Ha! Facebook doet aan phishing! Kijk […]
net ook weer 2x een mail van ‘paypal’ gekregen (kuch). Dat ze hun TOS voor november weer aangepast hebben en dat men het account moet bevestigen 🙂 Toch maar ff naar abuse doorgestuurd.