چرا گوگل و یاهو نباید هیچ وقت هیچ ایمیلی را حذف کنند؟ (یک نکته امنیتی در استفاده از ایمیل)

هر چند این موضوع را در وبلاگ انگلیسی هم گفته‌ام اما به خاطر اهمیت آن اینجا هم درج می‌کنم:

نمی‌دانم چند وقت پیش مطلع شدید که یاهو اعلام کرد ایمیل‌هایی که برای مدت طولانی غیرفعال بوده‌اند را آزاد می‌کند یا خیر؟ حتی اعلام کرده بود که به این آدرس بروید و اگر ایمیلی که آرزویش را داشته‌اید و اشغال بوده است، آن‌را ثبت کنید، ما به محض آزاد شدن به شما اطلاع می‌دهیم! من هم چند ماه پیش رفتم و ایمیل aftabgardan[At]yahoo.com را درخواست دادم و جالب است که چند روز بعد از طرف یاهو ایمیل آمد که این ایمیل را آزاد کرده‌ایم و می‌توانید برای خودتان ثبت کنید! من هم رفتم به راحتی این ایمیل را برای خودم ثبت کردم!

چند وقت پیش یک خبرنامه از طرف یکی از دانشگاه‌ها به آن ایمیل ارسال شد و در آن نوشته بود «خانم فلانی». من فهمیدم که این ایمیل قبلاً برای آن خانم بوده و ایشان در آن دانشگاه بوده‌اند. رفتم در سایت دانشگاه گشتی زدم. دیدم جایی برای لاگین به پرتال دانشگاه هست! روی «رمزم را فراموش کرده‌ام» کلیک کردم و آدرس ایمیل بالا را دادم! جالب است که لینک ریست پسورد به آن ایمیل آمد و من توانستم پسورد آن خانم را ریست کنم و وارد پروفایلش شوم!! (هر چند که چیز خاصی نداشت!!)

وقتی این موضوع اتفاق افتاد، واقعاً شوکه شدم! تصور کنید شما به هر دلیلی (حتی دور از جان شما، به خاطر فوت) برای مدتی از ایمیل خود استفاده نکنید... می‌دانید اگر جی‌میل یا یاهو آن ایمیل را حذف کنند و به دیگران اجازه ثبت بدهند چه فاجعه‌ای رخ می‌دهد؟ آن شخص می‌تواند در تمام سایت‌هایی که شما ثبت نام کرده بودید رمز عبور شما را ریست کند و وارد اکانت شما شود!!! این واقعاً از فاجعه هم بالاتر است! تمام زندگی خصوصی شما به خطر می‌افتد.

به همین دلیل است که به محض این اتفاق، تمام سایت‌های معتبر دنیا خبرهای هشداری نوشتند و یاهو ظاهراً این کار را متوقف کرده و برای تسکین دل ضرر دیدگان یک اطلاعیه واقعاً مسخره منتشر کرده:

    Our goal with reclaiming inactive Yahoo! IDs is to free-up desirable namespace for our users. We’re committed and confident in our ability to do this in a way that’s safe, secure and protects our users’ data. It’s important to note that the vast majority of these inactive Yahoo! IDs don’t have a mailbox associated with them. Any personal data and private content associated with these accounts will be deleted and will not be accessible to the new account holder.

    To ensure that these accounts are recycled safely and securely, we’re doing several things. We will have a 30-day period between deactivation and before we recycle these IDs for new users. During this time, we’ll send bounce back emails alerting senders that the deactivated account no longer exists. We will also unsubscribe these accounts from commercial emails such as newsletters and email alerts, among others. Upon deactivation, we will send notification for these potentially recycled accounts to merchants, e-commerce sites, financial institutions, social networks, email providers and other online properties.

در این اطلاعیه مثلاً آمده که ما یک ماه قبل از واگذاری ایمیل‌ها، به همه سایت‌هایی که به آن ایمیل خبرنامه می‌فرستند اطلاع می‌دهیم که این ایمیل در حال واگذاری است!!!! عجب! یعنی مثلاً شما به سایت ما به انگلیسی ایمیل بزنید که ایمیل فلان کاربر شما در حال واگذاری است، ما می‌رویم ایمیل یا اکانت او را حذف می‌کنیم!؟ اصلاً خبرنامه‌ها معمولاً از طرف noreply منتشر می‌شوند و این یعنی جواب یاهو به آن سایت‌ها نمی‌رسد! (بچه گول می‌زنند؟) آن وقت من که الان توانستم وارد اکانت این خانم شوم چه؟

اما موضوع بسیار جالبی بود که تا وقتی اتفاق نیفتاد کسی از ضررهایش مطلع نشد! و از آن جالب‌تر اینکه از این پس احتمالاً خیالتان راحت است که سرویس‌هایی مثل جی‌میل و یاهو هیچ ایمیلی را تا دنیا دنیاست حذف یا واگذار نخواهند کرد.

شما هم باید به این نکته دقت کنید که اگر یک روز ایمیل شما واگذار شود، چه اتفاقی می‌افتد؟ من به دانشجوها می‌گویم که سعی کنید چند ایمیل داشته باشید. یک ایمیل آن ایمیلی باشد که به همه اعلام می‌کنید. یک ایمیل ایمیلی باشد که با آن در سایت‌های مختلف ثبت نام می‌کنید. یک ایمیل هم ایمیلی باشد که خیلی خصوصی است (مثلاً روی Google Drive آن عکس‌های خانوادگی‌تان را به عنوان بک‌آپ آپلود کرده‌اید) این ایمیل را نباید هیچ کجا منتشر کنید و چه بهتر که یک ایمیل روند نباشد. به این صورت، اگر یک روز اکانت شما واگذار شد، خطر کمتری شما را تهدید خواهد کرد...

من فکر می‌کنم این قضیه، کلاً بحث «ریست پسورد» را در دنیا متحول می‌کند! ما برنامه‌نویس‌ها دیگر باید دنبال یک راه دیگر برای ریست کردن پسورد باشیم. چون احتمال دارد آن ایمیل الان برای شخص دیگری باشد. مثلاً سؤال امنیتی اینطور که مشخص است از واجب هم واجب‌تر است! باید علاوه بر ارسال لینک ریست پسورد به آن ایمیل، به محض ورود به سیستم ما، پسخ سؤال امنیتی را هم بپرسیم... (یعنی ریست پسورد باید در سایت‌ها دو مرحله‌ای باشد)

موفق باشید؛
حمید رضا نیرومند

ـــــــــــــــــــــــــــــ

حالا که این بحث مطرح شد یک موضوع را بگویم شاید جواب داد: ببینید دوستان، یک نفر ظاهراً به خاطر آزمایش (مثلاً تمرین آموزشی که در مورد ساخت ایمیل در سایت هست) ایمیل aftab.cc@gmail.com را ثبت کرده. بخشی از ایمیل اصلی او s•••••••j@yahoo.com است. اگر شما ایمیل را ساخته‌اید یا صاحب ایمیل دوم را می‌شناسید لطفاً به ما اطلاع دهید...