0:08
27/6/2013

Cloudsweeper to usługa, która “wycenia” nasze konto na GMailu. Skanuje zawartość naszych e-maili i na tej podstawie wie, w jakich serwisach założyliśmy konta z wykorzystaniem naszego GMailowego adresu. Algorytm sumuje kwoty, za jakie na czarnym rynku oferuje się za dane konta (np. Facebook to ok. 6USD) i na tej podstawie oblicza wartość naszego GMaila.

Cloudsweeper

Cloudsweeper, aby dostać się do naszego konta i zliczyć e-maile wykorzystuje protokół OAuth. Dzięki temu autorzy narzędzia nie znają naszego e-maila ani hasła — aczkolwiek to pierwsze mogą bardzo prosto wydedukować — mają przecież dostęp do zawartości naszych e-maili

Cloudsweeper

Cloudsweeper

Oczywiście autorzy twierdzą, że skrypt działa automatycznie i żaden człowiek nie czyta naszych maili — można im zaufać lub nie (NSA też twierdziło, że nikogo nie podsłuchuje…). Należy jednak pamiętać, autorzy tego narzędzia mogliby, po znalezieniu e-maili z serwisów w których się rejestrowaliśmy, zachowywać ich treść (czyli hasła) …a następnie sprzedawać je na czarnym rynku.

Cloudsweeper jest więc z gatunku tych serwisów, które sprawdzają czy ktoś nie wykradł naszego numeru karty kredytowej (trzeba go tylko im podać). Sugerujemy powstrzymać się od korzystania z tego serwisu — opisujemy go tylko i wyłącznie dlatego, że informacje o nim zaczynają obiegać internet i coraz więcej osób chwali się ceną swojego GMaila, która zdaje się być odwrotnie proporcjonalna do ilorazu inteligencji delikwenta…

Cloudsweeper oferuje też podmianę haseł w e-mailach zapisanych jawnym tekstem na tekst zakodowany (robi to przez edycję via IMAP i udostępnienie QRcode’a do odkodowania) — nie wiemy jaki to jednak ma sens, skoro atakujący po uzyskaniu dostępu do skrzynki ofiary wcale nie musi odszyfrowywać hasła — wystarczy, że je zresetuje i odczyta nowe…

Plusy w minusach

Nie mniej jednak, idea która przyświeca Cloudsweeperowi jest co do zasady słuszna — większość osób bowiem nie zdaje sobie sprawy, do ilu serwisów umożliwia dostęp osobie, która przejęłaby ich skrzynkę pocztową (i nie ma znaczenia, czy jest o GMail, czy inny dostawca usług poczty elektronicznej)…

Z tego powodu zachęcamy raz jeszcze aktywować dwuskładnikowe uwierzytelnienie wszędzie gdzie tylko możecie (GMail, Facebook, Dropbox) — a jeśli ktoś dał się nabrać na Cloudsweepera i udzielił mu dostępu po OAuth to może go odwołać na tej stronie przy okazji przeglądając inne usługi, które mają dostęp do naszego GMaila po OAuth.

Przeczytaj także:

32 komentarzy

Dodaj komentarz
  1. Pomysł fajny, szkoda że nie ma takiego progsa jako open-source – pobierał by po IMAP wszystkie wiad. i skanował

  2. Hmm, moje konto musi być dobrze zabezpieczone bo ten skrypt wywala błąd że nie może otworzyć etykiety “All mail”. Nie dziwne, nie mam takowej ;)

    • Wiesz… to może być błąd programu, a ty korzystając z tego pokazujuesz, że chyba nie doczytałeś tekstu do końca…

    • Aby działało, trzeba zmienić język na Angielski(US) ponieważ w innym wypadku wywala błąd, że nie może się dostać do All Mail :))

    • @Jasiek tej informacji chyba nie było jak się dawałem nabrać. Przy okazji jednak wywaliłem całe mnóstwo aplikacji które miały dostęp do mojego konta :)

    • Czyli “nie ma tego złego, co na dobre nie wyszło” :) Ja też miałem tam masę DAWNO nieużywanych apek. I masę używanych z “bezsensownym” dostępem do konta :<

      Dobrze jest czasem zrobić tam czystkę, nawet jak jesteśmy ostrożni, to czasem może się nam coś kliknąć :X

  3. Może i w sumie nie w temacie, ale kiedyś jak dostałem mejla od kolegi z adresem zamieszkania, adres był podkreślony. Po najechaniu na adres wyświetała się po prawej stronie mapka i pokazywało dokładny adres (w USA). Także przy otwarciu mejla, google przeskanowało zawartość i postanowiło mi pomóc xD

    • Faktycznie nie w temacie… Też to mam i sobie chwalę. Funkcjonalność, która była (może dalej jest) w labie gmaila. Nie google przeskanowało Ci zawartość, tylko javascript, czyli po Twojej stronie. A czym innym jest Adblock, który przegląda WSZYSTKIE strony, które odwiedzasz aby Ci wywalić reklamy? Przestań srać żarem. Jeśli tak bardzo Ci nie pasuje, że skrypty Google przeczesują Twoje maile, to może sobie postaw własną usługę mailową i znajomym podawaj jakiś egzotyczny adres, który w każdym momencie z powodu np. braku prądu w mieszkaniu przestanie działać.

    • To może riseup.net?

    • bo własny serwer pocztowy to musi w domu przy kanapie leżeć…

    • Ale tylko przy fizycznym posiadaniu maszyny masz 100% pewność, że nikt inny do tego nie ma dostępu.

    • nigdy nie masz 100% pewności

    • > Ale tylko przy fizycznym posiadaniu maszyny masz 100% pewność, że nikt inny do tego nie ma dostępu.
      http://www.nelson-haha.com/

    • O niemal 100% pewności że nikt nie ma dostępu do maszyny można mówić gdy jest odłączona od sieci energetycznej i zamknięta w sejfie.

    • A jaka masz pewność, że ktoś zdalnie nie buszuje po Twoim serwerze pocztowym?? :)

    • A jeśli ktoś podsłuchuje transmisje w szkielecie sieci? Czy to przypadkiem nie nazywa się Echelon?

    • widać sobie aktywowałeś to rozszerzenie w gmail lab :)

  4. Taki offtopic… kiedyś widziałem listę różnych kont pocztowych i była tam jakaś usługa pocztowa bez centralnego serwera. Problem w tym że nie mogę tego teraz znaleźć. Możliwe że to na którejś stronie coś pisało albo w komentarzach do jakiegoś wpisu tutaj. Kojarzy ktoś coś?

  5. Error Opening “[Gmail]/All Mail”
    To chyba dobrze..

  6. 100% pewność? to chyba jak ma wymontowany zasilacz.
    to, że komputer stoi w domu nie znaczy, że tylko domownicy mają do niego dostęp… botnety to takie właśnie komputery/serwery

  7. Dlatego właśnie w TaniBackup przyjęliśmy rozwiązanie, jakie podpatrzyłem w mojej rodzimej korpo: wszystkie hasła lecą do użytkowników osobnymi SMS-ami, w których z kolei nie ma nic poza hasłem. Proste i skuteczne: przechwycenie samej poczty albo samego telefonu nie wystarczy.

    • A numer nadawcy unikalny czy się powtarza? ;)

  8. Podejrzewam, że samo odwołanie dostępu OAuth nic nie da. Jeżeli Cloudsweeper miałby przechwytywać e-maile w celu szukania w nich haseł, danych kart, itp. to na pewno od razu po połączeniu z kontem Google zaimportował na swoje serwery wszystkie wiadomości z Gmaila.

  9. Teraz to żeście narobili tak, że nawet na samego niebezpiecznika boję się wchodzić. Naprawdę już nikomu nie można zaufać?

    • Ludzie którzy dali dostęp do swojej skrzynki jakiejś losowej aplikacji sami są sobie winni, niebezpiecznik może wreszcie przefiltruje sobie użytkowników.

  10. Ja tam sobie wywalam wszystkie maile ze skrzynki. Jak zapomnę hasła to jest “przypomnij” zawsze. ;D

  11. Kolejny off topic chciałem wrzucić.
    Co szanowni państwo myślą o lastpass.com?
    Myślicie że to (względnie) bezpieczne?

    • Hasła w LastPass są szyfrowane. Serwis umożliwia zabezpieczanie konta jednorazowymi hasłami, Google Authenticator, kluczem YubiKey, siatka ze znakami do wydrukowania. Według mnie to jest bezpieczne.

  12. Moja wesoła firemka… IT… Oddała swoje maile do minemymail.com. Żenada

  13. “Nie mniej jednak, idea która przyświeca…”
    1. Czy “niemniej” w wyrażeniu “niemniej jednak” nie piszemy czasem łącznie?
    2. Od kiedy przed “idea” stawiamy przecinek?
    3. “…większość osób bowiem nie zdaje sobie sprawy, do ilu serwisów…”
    Tutaj chyba też nie powinno być przecinka.
    Autor artykułu chyba ostatnio mniej sypia.

  14. “Witaj ***, Ktoś ostatnio użył Twojego hasła, by
    zalogować się na Twoje konto Google
    – ***********.@gmail.com. Zablokowaliśmy próbę logowania na
    wypadek, gdyby ktoś chciał się
    włamać na konto. Sprawdź te
    informacje: sobota, 30 listopad 2013 23:59:06
    UTC
    Adres IP: 216.228.1.50
    Lokalizacja: Monterey, CA, USA”
    To chyba czas zakończyć używania internetu. Mam specjalnie kilka kont, dla jakichś okazjonalnych serwisów, z innym systemem hasła. A tu widzę ktoś zna hasło do konta pocztowego którego nie wiązałem z żadnymi serwisami od dawna. I to uniwersalne hasło na kilka kont,
    (!ostrożnych kont!) zgłupieje. Spamiętać tych zmian haseł przez lata nie idzie. Czy trzeba mieć schowek na hasła na karteczce w domu??? To mi uwłacza. I myślę że i Chińczyków i reszte włamywaczy ujrzę kiedyś w owym schowku. paranoja panowie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.