Gmail backuptool blijkt wachtwoordsteler - Privacy en beveiliging

dinsdag 11 maart 2008 12:20

Acties:

Verwijderd

Topicstarter

Gmail backuptool blijkt wachtwoordsteler

Dinsdag 11 maart 2008, 08:13 - Shareware is niet altijd wat het lijkt. 1.777 nietsvermoedende GMail-gebruikers zijn het slachtoffer geworden van een zogenaamd Google Mail Backup programma.

7 reacties Door Thijs Roes
Gebruikers van Gmail konden met het programma 'G-Archiver' een backup maken van hun online mailaccount. Het programma, dat ook nog eens 30 dollar kost, stuurde de gebruikersnaam en het wachtwoord linea recta naar de maker van het programma, ene John Terry.

De kwade bedoelingen achter het programma werd bij toeval ontdekt door programmeur Dustin Brooks. Hij wilde ook een backup van zijn Gmailaccount hebben en kwam zo bij G-Archiver uit. Hij was er niet echt tevreden over, maar vond het interessant om eens in de broncode van het programma te duiken. Daar zag hij tot zijn schrik dat elke gebruikersnaam en wachtwoord die worden ingevuld door de gebruiker, automatisch naar de persoonlijke mailbox van John Terry werden gestuurd.

Ongewiste sporen
Het bleek dat Terry ook slordig omging met zijn eigen login-gegevens. Zijn eigen gebruikersnaam en wachtwoord waren gewoon terug te vinden in de broncode. Brooks besloot in te loggen op de account, en zag daar inderdaad een lange lijst van emailadressen en wachtwoorden. Brooks lichtte Google in, die de illegale E-mails verwijderde.

Het incident maakt nog eens duidelijk dat er een vals vertrouwen bestaat in gedownloade software. Hoewel de site en de vormgeving van G-Archiver geen schoonheidsprijs verdienen, is aan weinig te merken dat het hier gaat om een programma met kwade bedoelingen. Zelfs een ervaren gebruiker zal niet meteen argwaan krijgen bij het downloaden van het programma.

Zeer kwalijke zaak, er zou eigenlijk een "keurmerk" voor dat soort tools moeten komen.
Je ziet wel 's van die 100% Safe, 100% No-AdAware, 100% No-Spyware plaatsje bij software staan, maar als " gewone" gebruiker heb je bijna geen mogelijkheden om dit te controleren.

Vooral tools die voor hun functionaliteit een verbinding met een of andere host, in dit geval gmail, moeten hebben zouden goed gekeurd moeten worden op een of andere manier.

dinsdag 11 maart 2008 12:22

Acties:

Keiichi

Maar hoe kreeg die Dustin Brooks dan de broncode in handen?

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

dinsdag 11 maart 2008 12:25

Acties:

CodeCaster

Can I get uhm...

quote: http://www.codinghorror.com/blog/archives/001072.html
It didn't really have the functionality I was looking for, but being a programmer myself I used Reflector to take a peek at the source code.

Ik vind dit:

Reflector for .NET

Reflector is the class browser, explorer, analyzer and documentation viewer for .NET. Reflector allows to easily view, navigate, search, decompile and analyze .NET assemblies in C#, Visual Basic and IL.

Een decompiler dus. Al zal hij de verstuurde informatie net zo goed met ehtereal/wireshark hebben kunnen opvangen, door het netwerkverkeer van zijn pc te capturen.

[ Voor 5% gewijzigd door CodeCaster op 11-03-2008 12:26 ]

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

dinsdag 11 maart 2008 12:29

Acties:

jan-marten

utp

Backuptool? Je kunt toch met POP alle mail binnenhalen?

dinsdag 11 maart 2008 12:32

Acties:

benoni

Verwijderd schreef op dinsdag 11 maart 2008 @ 12:20:
Zeer kwalijke zaak, er zou eigenlijk een "keurmerk" voor dat soort tools moeten komen.
Je ziet wel 's van die 100% Safe, 100% No-AdAware, 100% No-Spyware plaatsje bij software staan, maar als " gewone" gebruiker heb je bijna geen mogelijkheden om dit te controleren.

Vooral tools die voor hun functionaliteit een verbinding met een of andere host, in dit geval gmail, moeten hebben zouden goed gekeurd moeten worden op een of andere manier.

Is het niet beter dat het publiek bewust voor open source oplossingen kiest bij dit soort software?
Hoewel, beide zou ook kunnen natuurlijk

[ Voor 3% gewijzigd door benoni op 11-03-2008 12:35 ]

dinsdag 11 maart 2008 12:36

Acties:

Witte

Hoe kwalijk! Maar ach, weet er iemand wat google zelf met de usernames en wachtwoorden doet? En alle bijbehorende mails?

Houdoe

dinsdag 11 maart 2008 12:39

Acties:

Verwijderd

benoni schreef op dinsdag 11 maart 2008 @ 12:32:
[...]

Is het niet beter dat het publiek bewust voor open source oplossingen kiest bij dit soort software?
Hoewel, beide zou ook kunnen natuurlijk

Dit heeft helemaal geen nut aangezien veel 'normale' mensen programma's gebruiken zonder reviews te lezen, source codes te bekijken of te letten op grote boze uitroeptekens/teksten van de firewall. 99.9% van de computer gebruikers snapt hier niets van.

dinsdag 11 maart 2008 12:39

Acties:

m3gA

Witte schreef op dinsdag 11 maart 2008 @ 12:36:
Hoe kwalijk! Maar ach, weet er iemand wat google zelf met de usernames en wachtwoorden doet? En alle bijbehorende mails?

Ze scannen je mails en geven je reclame op maat.. staat gewoon in de EULA.

dinsdag 11 maart 2008 12:40

Acties:

Yalopa

Less is more!

benoni schreef op dinsdag 11 maart 2008 @ 12:32:
[...]

Is het niet beter dat het publiek bewust voor open source oplossingen kiest bij dit soort software?
Hoewel, beide zou ook kunnen natuurlijk

OS blijkt nog maar eens de oplossing, hoera

/sarcasme off

Je bent een idioot als je een gratis beta mailacount gebruikt als backup lokatie...

You don't need eyes to see, you need vision

dinsdag 11 maart 2008 12:41

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op dinsdag 11 maart 2008 @ 12:39:
[...]

Dit heeft helemaal geen nut aangezien veel 'normale' mensen programma's gebruiken zonder reviews te lezen, source codes te bekijken of te letten op grote boze uitroeptekens/teksten van de firewall. 99.9% van de computer gebruikers snapt hier niets van.

vandaar ook, zou er een soort van keurmerk moeten komen.
En dan iets wat beetje bekend is. Niet iets speciaal van een of andere download site ofzo.

[ Voor 9% gewijzigd door Verwijderd op 11-03-2008 12:41 ]

dinsdag 11 maart 2008 12:43

Acties:

Verwijderd

Verwijderd schreef op dinsdag 11 maart 2008 @ 12:41:
[...]

vandaar ook, zou er een soort van keurmerk moeten komen.
En dan iets wat beetje bekend is. Niet iets speciaal van een of andere download site ofzo.

Er zijn volgens mij al 10tallen download sites die checken of iets spyware is of niet, geen idee of ze dit goed doen. Het probleem is dat er miljoenen programmatjes worden gemaakt die makkelijk vindbaar zijn via zoekmachines. Niemand kan die controleren en keuren dat is gewoon niet te doen.

dinsdag 11 maart 2008 12:49

Acties:

robbert

Verwijderd schreef op dinsdag 11 maart 2008 @ 12:41:
[...]

vandaar ook, zou er een soort van keurmerk moeten komen.
En dan iets wat beetje bekend is. Niet iets speciaal van een of andere download site ofzo.

Het feit of een programma in de repository van mijn Linux distro zit vind ik een redelijk keurmerk en gelukkig kan ik daar ook bijna alles vinden wat ik nodig heb

.

Echter gebruikt helaas niet iedereen een besturingssysteem welke zelf een enorme repositoy met software heeft.

dinsdag 11 maart 2008 12:49

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op dinsdag 11 maart 2008 @ 12:43:
[...]

Er zijn volgens mij al 10tallen download sites die checken of iets spyware is of niet, geen idee of ze dit goed doen. Het probleem is dat er miljoenen programmatjes worden gemaakt die makkelijk vindbaar zijn via zoekmachines. Niemand kan die controleren en keuren dat is gewoon niet te doen.

Ja maar dus iedere heeft z'n eigen keurmerk.

Je zou het moeten kunnen laten checken, en dan op een of andere (beveiligde en gecontroleerde) manier op je eigen site kunnen aangeven dat iets safe is.

dinsdag 11 maart 2008 12:59

Acties:

MrDummy

Nog steeds gek op anime...

Of Google vragen om speciale keurmerk. Als Google geen keurmerk geeft aan de backup tool, dan is het beter niet te gebruiken omdat het mogelijk 1 van de regels overtreedt.

Ook kan je naar Google mailen en programma laten nakijken of het goed is.

dinsdag 11 maart 2008 13:00

Acties:

benoni

Verwijderd schreef op dinsdag 11 maart 2008 @ 12:39:
Dit [open source] heeft helemaal geen nut aangezien veel 'normale' mensen programma's gebruiken zonder reviews te lezen, source codes te bekijken of te letten op grote boze uitroeptekens/teksten van de firewall. 99.9% van de computer gebruikers snapt hier niets van.

robbert schreef op dinsdag 11 maart 2008 @ 12:49:
Het feit of een programma in de repository van mijn Linux distro zit vind ik een redelijk keurmerk en gelukkig kan ik daar ook bijna alles vinden wat ik nodig heb .

Echter gebruikt helaas niet iedereen een besturingssysteem welke zelf een enorme repositoy met software heeft.

Ik ken wel 'normale' mensen die, voordat ze iets downloaden, kijken of ze hetzelfde pakket ook onder sourceforge.net kunnen vinden. Of in ieder geval op versiontracker of download.com.

Saillant detail is wel dat G-Archiver volgens de Google cache op download.com heeft gestaan 'Tested spyware free'

dinsdag 11 maart 2008 15:11

Acties:

Rukapul

offtopic:
SG->BV

dinsdag 11 maart 2008 15:15

Acties:

siknu

Witte schreef op dinsdag 11 maart 2008 @ 12:36:
Hoe kwalijk! Maar ach, weet er iemand wat google zelf met de usernames en wachtwoorden doet? En alle bijbehorende mails?

Hoogstwaarschijnlijk niet plain-text opslaan!

dinsdag 11 maart 2008 15:26

Acties:

Verwijderd

benoni schreef op dinsdag 11 maart 2008 @ 13:00:
Ik ken wel 'normale' mensen die, voordat ze iets downloaden, kijken of ze hetzelfde pakket ook onder sourceforge.net kunnen vinden. Of in ieder geval op versiontracker of download.com.

Saillant detail is wel dat G-Archiver volgens de Google cache op download.com heeft gestaan 'Tested spyware free'

Zo staat er wel vaker iets op download.com

dinsdag 11 maart 2008 15:33

Acties:

Diabolical

Yalopa schreef op dinsdag 11 maart 2008 @ 12:40:
[...]

OS blijkt nog maar eens de oplossing, hoera

/sarcasme off

Je bent een idioot als je een gratis beta mailacount gebruikt als backup lokatie...

Lees het artikel ook even Yalopa

G-Archiver was een tool om een backup te maken van de emails op je eigen systeem. En nu blijkt dat het dus nog wat meer deed...

"The internet has given a voice to the voiceless, but unfortunately it hasn't given a brain to the brainless."

woensdag 12 maart 2008 09:06

Acties:

Yalopa

Less is more!

my bad, ik moet stoppen met diagonaal te lezen

Ik snap het nut dan niet meer, POP3 haalt toch alle mail lokaal, en dat is verkrijgbaar bij gmail.

Gmail is hier via imap in gebruik voor onbelangrijk mail (lees reclamebak) Voor belangrijke stuff heb ik een belgische provider waarvoor ik betaal. Kost haast niets en geeft me een beter gevoel..

You don't need eyes to see, you need vision

woensdag 12 maart 2008 10:30

Acties:

Verwijderd

Topicstarter

Yalopa schreef op woensdag 12 maart 2008 @ 09:06:
my bad, ik moet stoppen met diagonaal te lezen

Ik snap het nut dan niet meer, POP3 haalt toch alle mail lokaal, en dat is verkrijgbaar bij gmail.

Gmail is hier via imap in gebruik voor onbelangrijk mail (lees reclamebak) Voor belangrijke stuff heb ik een belgische provider waarvoor ik betaal. Kost haast niets en geeft me een beter gevoel..

Het is niet zo moeilijk, dit programma (er zijn er meerdere ook b.v. g-drive), maakt "misbruik" van g-mail om het als backup en/of exteren storage te gebruiken, Hier voor heeft het de inlog gegevens nodig van iemands g-mail account. Het heeft eigenlijk weining met "e-mail" te maken verder.