Moeiteloos publiceren dankzij Merak Email server van Icewarp.com

Zie ik op blog.zog.org deze merkwaardige trackback staan:

Screenshot blog.zog.org

Wat blijkt: effe doorklikken laat me zomaar meelezen in de correspondentie van een bekend auteur (mailadres weggehaald):

screenshot email

En verder kan ik gewoon rondsurfen in de mailbox, van ene T die werkt voor een vormgevingsbureau XXX in Gent.

mailbox

Verzonden en ontvangen items, zelf mails versturen, in het adresboek rondneuzen, wat je maar wil.

De webmail is gehost door dit bedrijf met bekende klanten:

partner

En ze maken gebruik van de Merak Email Server van Icewarp. Volgens mij gaan er een paar mensen toch wat gaan moeten uitleggen…

PS: de technische uitleg is dat er een nummertje van de “gebruikerssessie” zit in de url van de webmail die hier gebruikt wordt. Elke keer dat de gebruiker een link naar een andere website aanklikt, laat zijn browser aan die website de url van waar er geklikt wordt, weten, inclusief dat nummertje.
Als de webmail software, zoals hier, énkel naar dat nummertje kijkt om surfers toe te laten (en niet bv ook naar cookies, ip-adres, enz), kan de eigenaar van die andere website dus zomaar de mailbox binnen… De remedie is onmiddellijk uit te loggen, zodat de sessie wordt afgesloten, en dat nummertje dus onbruikbaar wordt. Dat is, als de ontwerper van de webmailsoftware tenminste die beveiliging heeft ingebouwd…
(Voor de goede orde: hier werkte de remedie wél, maar die mailbox heeft, tussen het moment van de trackback en het moment dat ik het zag, wel zo’n twee uur opengestaan vanop een blog met een paar duizend bezoekers per dag…)

Dit bericht werd geplaatst in bug, email, Erwin Mortier, P, privacy, trackback. Bookmark de permalink .

2 reacties op Moeiteloos publiceren dankzij Merak Email server van Icewarp.com

  1. Bart zegt:

    Amai, serieus lek…

  2. pieterr zegt:

    Het is in elk geval al gesignaleerd.
    Ik kreeg een bezoeker binnen vanuit de ticket (=klacht over bv. een bug) tracking applicatie bij Icewarp.com.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s