数日前,我的QQ邮箱在短短2小时中不断收到多达2000多垃圾邮件,这些多是以Discuz论坛为主的各类网站的注册确认邮件。这甚至超过我从2008年底启用此邮箱后收到的、除已被删除的邮件数量总和。从发送速度来看一定是软件所为,其原理与”短信轰炸机*1“如出一辙。
我敢肯定近2年多以来我没在网络上结识仇人。换言之,我不认识任何知晓我的E-mail地址且有动机对我进行『邮件轰炸』的人。
而这次事件持续时间很长,长达12小时,看来并不像恶作剧*2。于是我倒回刚开始收到垃圾邮件的时间点,果不其然发现了一封由126邮箱发来的电邮,内容是一人的身份证正反面照片。
我没有任何理由收到这样的邮件,加之我的QQ邮箱是<一串数字>@qq.com
,因此对方很有可能是输错了数字导致这封邮件被发至我的邮箱。而他对我『邮件轰炸』的目的,大概是为了”淹没”这封由于他的失误或会导致泄露他人个人信息的邮件,或者令这封邮件和那些垃圾邮件一并被我删除。
我向此人发送邮件说明我并未保存这两张图片,并已将其删除,希望其停止当前行为。但是他给我的回复如下:
你怎么证明你没留存?!!!
如你不能证明我不会停止!!!
每句话后面的三个叹号足以看出此人气急败坏。而他对我的要求,就像”证明你妈是你妈”一样,是一个不可能证明的问题——即便我把我邮箱的登陆凭据给他,让他亲自看,他还可以诡辩——我把照片保存到我的计算机了……
他的邮件地址无法提供任何有效线索——也是一串数字,但既不是手机号码,也不是QQ号(至少不是主显帐号)。根据这封误发送的邮件内容,我猜测他服务于某个需要用户实名认证的企业,身份证上的人很可能是其客户,同时也是这家企业没做好信息安全工作的受害者。
两天过去,垃圾邮件不再涌入,看来暂时平息了……
事实上我也是一个没有任何过失的、无辜的受害者——如果我有过失,那也只能是使用了一个容易被”误输入”的邮件用户名……因此我将此事件形容为『疯狗咬人』。
总而言之,这个企业有许多不足,直接或间接导致了这场风波:
- 用电子邮箱传输敏感数据,且发送前不反复确认收件人地址
- 使用的电子邮箱没有『撤回邮件』功能*3
- 敏感信息通过互联网传输时没有加密——如果他用GPG加密了邮件,即便误发送也无虞
- 使用安全性能*4和使用体验*5极差的网易邮箱
而对于该企业的客户,也有如下不足
- 没有在身份证照片上添加水印以减少以外泄露带来的隐患
^ *1.收集许多需要用手机号/邮箱注册的网站,模拟其注册时发送的POST包来让某个手机号/邮箱收到大量垃圾短信/垃圾邮件的软件,常被无良电商用作报复填写差评的用户.
^ *2.曾有报道因个人信息泄露,有人手机”被DDoS”——不断接到响一声来电使正常电话打不进来,后此人被勒索数百元赎金才可停止这种行为.
^ *3.许多邮箱,包括我使用的Gmail和QQ邮箱,都可以撤回已发送但对方未读的电邮.可以说的上是邮箱的标配功能.
^ *4.网易邮箱发送的邮件底部包含不可去除的广告,常被收件人的邮箱系统归档至垃圾邮件.
^ *5.网易邮箱宣称使用SSL确保信息安全,但仅是POST登陆凭据的URL使用了https,而登录页面为http.这种情况下攻击者只要在页面中插入一个恶意JavaScript便可获取用户名和明文密码.且网易邮箱并没有使用SSL或S/MIME来确保邮件在传输过程中安全.
最好的办法是默默保存,不用理会,如果很烦用规则过滤掉就好了
确实没法证明呀!
所以才说此人用自己的错误惩罚别人,还提无理要求
另外,高考加油:-)
隐私意识挺强的,不过这人只考虑自己不考虑别人的行径真是无耻。至于算不算“咬人”,看你怎么定义咯:D
其实我不认为他很有隐私意识
这篇博客末尾提到的,能预防这类事故的方法他一项也没有采取——哪怕是加个水印.
而我认为这是『疯狗咬人』则是因为我无任何过错的情况下他主动来找我麻烦…
这也太神奇了吧233333
我觉得的确很不可思议
此人自己做错事不加检讨,却进行于事无补且严重影响他人的”报复”行为
实在荒谬.