faretesto > lavoro.* > lavoro.informatica

rootkit (21.12.2017, 01:08)
vi racconto quanto mi è accaduto questa sera.

dopo cena, al mio account nome.cognome vedo arrivare una
conferma da amazon di un ordine che non avevo mai fatto. ovviamente mi
sono allarmato, ho controllato all'interno dell'account e non c'era
nessuna attività sospetta. ho pensato quindi fosse uno spam che
stranamente era passato dai filtri, però guardando con attenzione ho
notato un fatto particolare: non era indirizzata a
nome.cognome, bensì a nomecognome, che come sapete è
un alias.

volendo capire di più ho voluto provare ad accedere ad amazon con quella
mail, in particolare a richiedere un reset della password. non solo me
l'ha fatto fare, ma una volta fatto e andato al login... mi ha fatto
entrare nell'account di un'altra persona! cioè quella che ha fatto
l'ordine!

ovviamente sono uscito all'istante e mi dispiace per questa persona a cui
purtroppo ho fatto perdere il controllo dell'account, ma non è stato
intenzionale perché mai mi sarei immaginato che una situazione del genere
fosse possibile.

ciò che mi viene in mente è che amazon ha consentito a questa persona di
registrare l'account con una mail non verificata, evidentemente perché la
verifica avrei potuto farla solo io. se è così si tratta di una cosa
abbastanza folle. a voi viene in mente qualche altra possibilità?
Dr.UgoGagliardelli (21.12.2017, 11:05)
Il 21.12.2017 00.08, rootkit ha scritto:
[..]
> registrare l'account con una mail non verificata, evidentemente perché la
> verifica avrei potuto farla solo io. se è così si tratta di una cosa
> abbastanza folle. a voi viene in mente qualche altra possibilità?

Ipotizza il caso che il tale si sia registrato su gmail e su amazon con
nomecognome prima che ti registrassi tu con
nome.cognome, e' possibile che con la tua registrazione sia
riuscito a 'pestare', tramite l'alias, l'account del tale? Secondo me e'
vero il contrario.
In tal caso la colpa sarebbe di google, non di amazon.
Di fatto ho provato con un account che ho, stile parappappero
e sono riuscito a creare un account su google stile
parap.pappero, ho provato ad inviare una mail a
parap.pappero, ma la riceve l'account preesistente, ovvero
parappappero.
Di fatto e' come se google considerasse parap.pappero un alias
di parap.pappero, anche se parap e pappero non corrispondono a
nome e cognome di nessuno dei due account.
Buco di google ipotizzo.
Adesso vorrei cancellare l'account teste' creato, ma ho paura che me li
cancelli tutti e due! :-)
Dr.UgoGagliardelli (21.12.2017, 11:11)
Il 21.12.2017 10.05, Dr.UgoGagliardelli ha scritto:
[...]
> Di fatto e' come se google considerasse parap.pappero un alias
> di parap.pappero, anche se parap e pappero non corrispondono a
> nome e cognome di nessuno dei due account.

Ovviamente intendevo parap.pappero un alias di
parappappero
tonyzz (21.12.2017, 16:59)
Il Thu, 21 Dec 2017 10:05:55 +0100, Dr.UgoGagliardelli ha scritto:

> Buco di google ipotizzo.


Trattasi di feature
Dr.UgoGagliardelli (21.12.2017, 17:03)
Il 21.12.2017 15.59, tonyzz ha scritto:
> Il Thu, 21 Dec 2017 10:05:55 +0100, Dr.UgoGagliardelli ha scritto:
>> Buco di google ipotizzo.

> Trattasi di feature
>

Una feature perniciosa, perche' se ho un account nomecognome
non dovrebbe essere possibile creare un nuovo account
nome.cognome, invece si puo' tranquillamente.
tonyzz (21.12.2017, 17:10)
Il Thu, 21 Dec 2017 16:03:34 +0100, Dr.UgoGagliardelli ha scritto:

> Una feature perniciosa, perche' se ho un account nomecognome
> non dovrebbe essere possibile creare un nuovo account
> nome.cognome, invece si puo' tranquillamente.


A cosa ti riferisci? Su gmail non puoi. Puoi, a quanto ci racconti, su
Amazon perché non verifica gli indirizzi email. Chissà quanti
brainstorming avranno fatto per stabilire che, se a un nuovo account fai
verificare l'indirizzo email, quello magari cambia idea e non procede
all'acquisto.
Leonardo Serni (21.12.2017, 20:46)
On Wed, 20 Dec 2017 23:08:05 -0000 (UTC), rootkit <rootkit> wrote:

>vi racconto quanto mi è accaduto questa sera.
>dopo cena, al mio account nome.cognome vedo arrivare una
>conferma da amazon di un ordine che non avevo mai fatto. ovviamente mi
>sono allarmato, ho controllato all'interno dell'account e non c'era
>nessuna attività sospetta. ho pensato quindi fosse uno spam che
>stranamente era passato dai filtri, però guardando con attenzione ho
>notato un fatto particolare: non era indirizzata a
>nome.cognome, bensì a nomecognome, che come sapete è
>un alias.


Google ignora i punti e tutto ciò che segue il segno "+" nell'indirizzo, per
cui ugo.gagliardelli, ugogagliardelli, ed ugogagliardelli+ufficio sono tutti
la stessa cosa.

>volendo capire di più ho voluto provare ad accedere ad amazon con quella
>mail, in particolare a richiedere un reset della password. non solo me
>l'ha fatto fare, ma una volta fatto e andato al login... mi ha fatto
>entrare nell'account di un'altra persona! cioè quella che ha fatto
>l'ordine!


Per Amazon, ugo.gagliardelli e ugogagliardelli sono due persone DIVERSE. Io,
per dire, ho due account su Amazon (uno è professionale) e sono collegati ad
una stessa email di Google, la mia.

Ma quell'account di Amazon non poteva essere stato creato se il creatore non
avesse risposto al link di conferma della mail, che sarebbe arrivato a te.

Quindi i casi sono tre:

a) Il proprietario dell'account ha creato per es. "ugo.gagliar.delli", e poi
Amazon ha mandato il link di conferma a TE. Tu ci hai cliccato, e così il
SUO account è stato attivato senza una email valida.
Adesso il poverino è tagliato fuori per sempre dall'account.

Dovresti accorgertene, perché ti arriveranno ennemila richieste di reset,
oltre alla lamentela del pacco non arrivato.

b) Il proprietario dell'account eri tu, e te ne sei dimenticato. E l'account
è stato craccato da qualcuno che l'ha usato. Adesso cambiando la password
l'hai rimesso in sicurezza.

c) Il proprietario dell'account è qualcuno che hai in casa, ed ha accesso al
tuo computer e alla tua mail: figlio, figlia, moglie, gatto.

>ovviamente sono uscito all'istante e mi dispiace per questa persona a cui
>purtroppo ho fatto perdere il controllo dell'account, ma non è stato
>intenzionale perché mai mi sarei immaginato che una situazione del genere
>fosse possibile.


Per sicurezza e per tutelarti da possibili grane, comunica immediatamente la
storia ad Amazon. Nel caso (a) faranno il mazzo all'ignoto fesso, e nei casi
(b) e (c) risistemeranno le cose e magari chiuderanno l'account.

Soprattutto, nel caso (a), se l'ignoto fesso (perché uno che registra con la
mail di un altro è un fesso, e voglio essere buono) schiamazza con Amazon, e
magari, comincia a cianciare di accesso indebito ad account illecito (cit.),
e arriva da te assetato di vendetta, gli puoi dire di andare a ramengo.

Lasciando stare e facendo finta di nulla può non succedere nulla... come può
succedere che l'ignoto fesso arriva da te, e stavolta sei nel torto.

Leonardo
rootkit (21.12.2017, 21:33)
Il Thu, 21 Dec 2017 10:05:55 +0100, Dr.UgoGagliardelli ha scritto:

> Ipotizza il caso che il tale si sia registrato su gmail e su amazon con
> nomecognome prima che ti registrassi tu con
> nome.cognome, e' possibile che con la tua registrazione sia
> riuscito a 'pestare', tramite l'alias, l'account del tale? Secondo me e'
> vero il contrario.


no, l'ipotesi che nomecognome e nome.cognome siano
stati registrati da due persone diverse non è percorribile; è proprio un
fatto che i due siffatti indirizzi siano la stessa casella postale e se
tenti di registrare uno quando è presente l'altro non te lo fa fare. è
una cosa nota da sempre.

> In tal caso la colpa sarebbe di google, non di amazon.


la colpa è indubbiamente di amazon che non verifica la proprietà della
email. è chiaro amazon considera le due email diverse, ma non è questo il
punto: in quel caso l'utente ha registrato l'account amazon con un email
sbagliata, consciamente o no, fatto sta che ha beccato una email
esistente che però appartiene ad un altro. poteva anche usare
nome.cognome, nel mio caso sarebbe stato bloccato solo perché
ho già un account amazon con quella mail, ma si tratta di una
coincidenza.
rootkit (21.12.2017, 22:58)
Il Thu, 21 Dec 2017 19:46:12 +0100, Leonardo Serni ha scritto:

[..]
> c) Il proprietario dell'account è qualcuno che hai in casa, ed ha
> accesso al
> tuo computer e alla tua mail: figlio, figlia, moglie, gatto.


temo che dei tre casi sia proprio il quarto.

sono ragionevolmente certo di non aver autorizzato nulla, inoltre il
tizio risulterebbe un mio omonimo che si è fatto spedire il pacco presso
una srl che effettivamente esiste. inoltre l'account risulta molto
recente. quindi una fava immensa, ma molto probabilmente in buona fede.

non ho altra ipotesi oltre a quella che amazon non verifichi la ownership
della mail, almeno per il primo acquisto. è plausibile ciò che ha scritto
tonyzz, cioè che amazon non costringe alla verifica immediata per non
scoraggiare il primo acquisto di un nuovo utente.

> Lasciando stare e facendo finta di nulla può non succedere nulla... come
> può succedere che l'ignoto fesso arriva da te, e stavolta sei nel torto.


assolutamente non intendo lasciar stare, anzi la questione mi provoca non
poca inquietudine proprio per i motivi che hai riassunto te.
ieri ho segnalato la cosa al centro di contatto e ovviamente non hanno
capito una sega (praticamente hanno inteso che mi lamentassi per aver
ricevuto della posta indesiderata), stasera invece mi sono fatto chiamare
e ho avuto conferma scritta che hanno compreso e preso in carico il
problema.
Dr.UgoGagliardelli (21.12.2017, 23:12)
Il 21.12.2017 16.10, tonyzz ha scritto:
> Il Thu, 21 Dec 2017 16:03:34 +0100, Dr.UgoGagliardelli ha scritto:
>> Una feature perniciosa, perche' se ho un account nomecognome
>> non dovrebbe essere possibile creare un nuovo account
>> nome.cognome, invece si puo' tranquillamente.

> A cosa ti riferisci? Su gmail non puoi.

Questo e' quello che dice google, ma io mi riferisco ad una prova che ho
fatto oggi stesso. Libero di non crederci, e allora prova anche tu.

> Puoi, a quanto ci racconti, su Amazon perché non verifica gli indirizzi email.

A parte che non l'ho raccontato io, puo' darsi che mi ricordi male, ma
mi sembra proprio che all'atto dell'iscrizione abbia dovuto confermare
l'indirizzo tramite mail.
Dr.UgoGagliardelli (21.12.2017, 23:14)
Il 21.12.2017 20.33, rootkit ha scritto:
[..]
rootkit (21.12.2017, 23:37)
Il Thu, 21 Dec 2017 22:14:54 +0100, Dr.UgoGagliardelli ha scritto:

>> no, l'ipotesi che nomecognome e nome.cognome siano
>> stati registrati da due persone diverse non è percorribile; è proprio
>> un fatto che i due siffatti indirizzi siano la stessa casella postale e
>> se tenti di registrare uno quando è presente l'altro non te lo fa fare.
>> è una cosa nota da sempre.

> La prova che ho ho fatto oggi e ti ho descritto, dice il contrario.


non so che dirti. se provo in diretta a creare un account esistente, con
dei punti a caso nel mezzo (nome.cognome, no.me.cognome, no.me.co.gno.me,
etc...) esce subito il messaggio: "Il nome utente inserito esiste già.
Tieni presente che i punti e le maiuscole vengono ignorati nei nomi
utente. Provare con un altro nome?".
Alfa (22.12.2017, 03:25)
rootkit <rootkit> wrote in news:p1h79h$br$2:

> ho segnalato la cosa al centro di contatto e ovviamente non hanno
> capito una sega


usual
Dr.UgoGagliardelli (22.12.2017, 11:37)
Il 21.12.2017 22.37, rootkit ha scritto:
> Il Thu, 21 Dec 2017 22:14:54 +0100, Dr.UgoGagliardelli ha scritto:
> non so che dirti. se provo in diretta a creare un account esistente, con
> dei punti a caso nel mezzo (nome.cognome, no.me.cognome, no.me.co.gno.me,
> etc...) esce subito il messaggio: "Il nome utente inserito esiste già.
> Tieni presente che i punti e le maiuscole vengono ignorati nei nomi
> utente. Provare con un altro nome?".

La prova che ho fatto io, e' stata quella di utilizzare un account
esistente senza punti, per cui google non puo' aver creato degli alias
mettendo dei punti a caso, ho quindi creato un account coi punti e
google l'ha accettato senza proferire verbo, accedendo via web al nuovo
account mi fa vedere la casella di posta con le consuete mail di
benvenuto da parte di google, ma se provo ad inviare una mail al nuovo
account, la riceve quello vecchio.
Non mi credi, fa lo stesso, me ne faro' una ragione! :-)
Roberto Tagliaferri (22.12.2017, 12:00)
Dr.UgoGagliardelli wrote:

> La prova che ho fatto io, e' stata quella di utilizzare un account
> esistente senza punti, per cui google non puo' aver creato degli alias
> mettendo dei punti a caso, ho quindi creato un account coi punti e
> google l'ha accettato senza proferire verbo, accedendo via web al nuovo
> account mi fa vedere la casella di posta con le consuete mail di
> benvenuto da parte di google, ma se provo ad inviare una mail al nuovo
> account, la riceve quello vecchio.
> Non mi credi, fa lo stesso, me ne faro' una ragione! :-) Ciao, ho provato adesso (ho un account senza punti).. la risposta è stata


Il nome utente inserito esiste già. Tieni presente che i punti e le
maiuscole vengono ignorati nei nomi utente. Provare con un altro nome?