Pokud máte adresu, která končí „@gmail.com“, máte ve skutečnosti prakticky neomezené množství adres, na které vám lidé mohou posílat e-maily. Například jannovak@gmail.com dostane i všechny e-maily, které pošlete na:
- jan.novak@gmail.com
- jan.nov.ak@gmail.com
- jannovak@googlemail.com
- j.a.n.n.o.v.a.k@googlemail.com
- jannovak+cokoli@gmail.com
Je to důsledek pravidla Googlu, že na tečkách v adrese nezáleží. Výhodou této funkce je, že nikdo si nemůže založit adresu, která se od té vaší liší jenom tečkou. A pokud někdo zapomene (nebo naopak udělá navíc) tečku v adrese, kterou mu nadiktujete, ničemu to nevadí, e-mail vám dorazí i tak. Toto pravidlo lze navíc využít k filtrování příchozí pošty z různých zdrojů nebo ke sledování toho, komu dala nějaká firma vaši adresu (více v našem článku).
Jak lze tuto funkci zneužít?
Britský vývojář James Fisher si všiml, že tento způsob zacházení s tečkou ve jménu má i své potenciální nevýhody. Na vlastní kůži totiž zažil absurdní situaci, kdy někdo (možná úmyslně, spíše ale omylem) zaregistroval netflixový účet na adresu, která se od té jeho liší jen tečkou (Netflix adresu neověřuje). Tím pádem Netflix považoval adresu za jinou, ale on má k tomuto cizímu účtu přístup, protože může změnit heslo a nechat si reset hesla poslat na „svůj“ e-mail. Což také Fisher udělal a de facto tím „unesl“ něčí účet.
Fishera v této souvislosti napadlo, že by se toho dalo využít k vylákání cizí kreditní karty. Stačilo by najít někoho, kdo má účet na Netflixu a hlásí se gmailovou adresou (to by nebylo těžké, řekněme, že je to náš jannovak@gmail.com), pak založit účet, který bude využívat stejnou adresu, ale s tečkou navíc (jan.novak@gmail.com). Podvodník zadá jednorázovou anonymní kreditní kartu, kterou zruší. Skutečnému Janovi Novákovi přijde e-mail, že jeho Netflix nefunguje a musí doplnit kreditní kartu. Pokud by to udělal, stačí útočníkovi změnit e-mail ke svému netflixovému účtu a může používat kreditní kartu Jana Nováka.
Tento útok, jak poukazují diskutující na Hacker News, je v současnosti spíše omezený a nepraktický (existují reálnější hrozby), může ale sloužit jako dobrá připomínka toho, že i užitečné funkce mohou být zneužity.
Každopádně využíváme této příležitosti k tomu, abychom uživatelům Gmailu připomněli, že nemají „jednu adresu“, ale „prakticky neomezené množství adres“. A že pokud někomu diktují adresu, na tečce až tak úplně nezáleží.
