Le email riciclate fanno paura: ricetta Yahoo-Facebook

Lo scorso anno avevamo fatto luce sul protocollo adottato da Yahoo che prevede il riutilizzo degli indirizzi e-mail precedentemente assegnati ad altri utenti nel caso in cui questi risultassero di fatto “abbandonati” per lunghi periodi di tempo: Yahoo ricicla gli indirizzi e-mail inutilizzati.

Anche Microsoft usa un approccio simile: quando un indirizzo Outlook.com, Hotmail e Live non risulta più utilizzato (chi l’aveva attivato non si è più ricollegato da molto tempo), questo viene messo a disposizione di altri utenti che possono così riciclarlo.
Nel caso di Microsoft, per non rischiare la cancellazione dell’account ed evitare che venga messo a disposizione di terzi, è indispensabile accedervi almeno ogni 270 giorni. Trascorso tale periodo, Microsoft si riserva il diritto di eliminare l’account utente, insieme con tutti i dati in esso eventualmente conservati.
Dopo un periodo di 360 giorni, stando a quanto dichiarato dai portavoce di Microsoft, l’indirizzo e-mail torna ad essere registrabile e riutilizzabile da parte di chiunque.

Attenzione agli account riciclati: si rischia di mettere dati personali nelle mani di altri soggetti

Si supponga di aver registrato, tempo fa, un account Yahoo o Microsoft e di averlo utilizzato per registrarsi su alcuni siti web. Si ipotizzi di esserci dimenticati di tale account e che lo stesso sia stato quindi reso nuovamente disponibile per la registrazione da parte di terzi.
Il soggetto che registrerà lo stesso account potrebbe avere accesso ad informazioni personali del precedente utente spacciandosi sui vari siti web per quest’ultimo.

RRVS (Require-Recipient-Valid-Since): la proposta di Yahoo e Facebook

Per cercare di risolvere il problema, Facebook e Yahoo si sono accortati per l’inserimento di un nuovo header (intestazione) nei messaggi di posta. Facebook aggiungerà alle comunicazioni contenenti dati sensibili un timestamp ossia un marcatore che indica la data a partire dalla quale il social network è venuto a conoscenza dell’indirizzo e-mail.
Esaminando quest’informazione, Yahoo può evitare di consegnare l’e-mail contenente ad esempio nomi utente e password allorquando la data indicata fosse antecedente a quella dell’ultima registrazione dell’account di posta.
In altre parole, le mail di Facebook non verranno smistate sugli account Yahoo se, nel frattempo, è cambiato il soggetto proprietario dell’account di posta.

La nuova specifica RRVS è stata presentata all’IETF (Internet Engineering Task Force), ente di standardizzazione caratterizzato da una struttura “aperta” formata da specialisti, tecnici e ricercatori da Facebook e Yahoo che auspicano un’approvazione come standard.

Google, invece, ha preferito evitare qualunque rischio non permettendo il riciclo degli indirizzi e-mail: i tecnici della società di Mountain View spiegano che non appena si chiuderà definitivamente un account Google, nessun altro potrà più riutilizzarlo e sarà perso per sempre.