Oggi ho ricevuto unemail confusa da Google. Aveva loggetto “Avviso di sicurezza critico” e lente diceva in parte “Google è venuta a conoscenza del fatto che qualcun altro conosce la tua password e” abbiamo adottato misure per proteggere il tuo account “.

Apparentemente queste sono legittime e ho confermato che i link e le intestazioni dei messaggi non sembrano un tentativo di phishing.

Immagine: https://imgur.com/a/cvpfh3k

La cosa strana è che lindirizzo email elencato non è un indirizzo Gmail: è un indirizzo email associato a uno dei miei account di hosting web. Recuperiamo la posta da questo account tramite POP3 nel nostro account Gmail.

Il testo non è ambiguo: dichiarano chiaramente di sapere che qualcuno conosce la password di questo account. Ma come? Google non ha un accesso speciale allaccount. Presumibilmente hanno la copia in chiaro del password disponibile per lautenticazione POP3, quindi se si è verificata una violazione dei dati su questo spazio di archiviazione su Google, immagino che sia un modo, ma non ho nulla in contrario. E il testo “accedi di nuovo” suona È come se volessero inviarlo per Gmail, ma non so come chiederglielo.

Anche se la mia scarsa igiene della sicurezza significasse che una terza parte avesse accesso, come lo saprebbe Google?

Risposta

Poiché Google ha la password per laccount POP3, può controllare i dump delle password comuni se la password è nota pubblicamente. Non affermano che qualcuno stia attivamente utilizzando la password con il tuo account POP3, solo che qualcuno la conosce. E ti esortano a cambiare la password per proteggere il tuo account.

Commenti

  • Suppongo che sia possibile, ma trovo comunque la frase molto strana: quali passaggi stanno prendendo per ' proteggere il mio account '? Le email venivano ancora recuperate il giorno dopo aver ricevuto quel messaggio e il mio host conferma che nessun IP tranne il mio o i ' di Google stavano accedendo al server di posta. la password in questione è stata generata automaticamente da KeePass e non è stata utilizzata altrove, quindi ' è possibile ' in un dump pubblico, ma molto improbabile .
  • @NickP, Stessa esperienza, domande e sentimenti qui. Sono andato avanti e ho controllato la mia password in un dump pubblico (e poi lho cambiata!) ma non era ' Non trovato. Trovo lintera faccenda piuttosto strana.
  • @schroeder la mia risposta eliminata ha affrontato la prima domanda dellOP: " Il testo non è ambiguo – affermano chiaramente di sapere che qualcuno conosce la password di questo account. Ma come? " (il mio grassetto). La mia risposta includeva anche la motivazione. NIST 800-63B (vedere gli altri commenti contro questa risposta). ' non ero sicuro di modificare la risposta di Steffen Ullrich ' per fornire ulteriori informazioni, né pensavo che sarebbe stato appropriato, poiché risolveva lo sviluppo più recente nellAPI Pwnd Passwords . Non esitare a eliminare questo commento e io ' me ne dimenticherò – Non ' non conosco nessun altro modo per rispondere.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *