Rischio di sicurezza nel permettere a qualcun altro di creare un account per me usando un indirizzo e-mail che possiedo?

1

Quindi il fatto è che un mio amico voleva comprarmi un regalo su Steam, ma non avevo un account, quindi quello che ha fatto è stato creare un account per me, con la mia email, e con una password casuale, e mi ha suggerito di cambiarlo. Naturalmente dovevo andare alla mia email e fare clic sul "link di conferma" per convalidare prima l'indirizzo e-mail e poi cambiare la password.

Il fatto è che mi fido di questo amico in questo caso, ma mi stavo chiedendo se c'è qualche rischio di farlo. L'account è collegato alla mia email e la password è stata cambiata, quindi penso che non ci siano rischi, ma questo mi sembra un po 'imbarazzante, quindi mi fa pensare che qui potrebbero esserci dei rischi.

    
posta Pablo Matias Gomez 31.12.2017 - 05:19
fonte

2 risposte

1

Iniziamo con il caso generale ...

L'email di solito è il punto di verifica principale per un account, quindi dal momento che controlli l'indirizzo email, sarebbe difficile per qualcun altro resettare l'account o agire senza che tu lo sappia. Tuttavia, ci sono alcune possibilità:

  • Scarsa gestione delle sessioni da parte del servizio: se il tuo amico ha effettuato il login con l'account e non si è mai disconnesso, anche se hai cambiato la password, potrebbe comunque rimanere connesso. Una buona pratica per il sito web sarebbe quella di invalidare tutte le sessioni attive quando una password è cambiata
  • Recupero dell'account che può ignorare la posta elettronica: alcuni servizi consentono di ripristinare e riprendere il controllo dell'account con un'e-mail di backup, un numero di telefono o rispondendo alle domande della sfida
  • Supporto tecnico social: se c'è un elemento umano c'è sempre la possibilità che via email, live chat, telefono, ecc. qualcuno possa socializzare il proprio modo per ottenere l'accesso al proprio account se ne conosce abbastanza

In caso di vapore, puoi consultare le Domande frequenti sul recupero dell'account . Da una lettura iniziale sembra che tu possa essere in grado di recuperare un account con le informazioni chiave e senza accesso alla posta elettronica, ma non ho seguito la procedura per provarlo.

Steam offre un'opzione di autenticazione a 2 fattori, che potrebbe aiutare a prevenire questi tipi di attacchi, ma non sono sicuro di come gestire il tentativo di ingegneria sociale quando l'attaccante ha affermato di aver perso l'accesso alla soluzione a 2 fattori. Consulta Guida di Steam per proteggere il tuo account .

In generale, non consiglierei ad altre persone di configurare il tuo account per tuo conto.

    
risposta data 05.01.2018 - 05:02
fonte
0

Un paio di punti qui:

I had to go to my own email and click the "confirmation link" in order to validate the email address first

Assicurati che l'email provenga da Steam. Potrebbe essere stata una e-mail di phishing.

Se la password è stata modificata dal portale di Steam andando manualmente al link ufficiale, allora dovrebbe andare bene. Se è stato modificato da un link inviato in un messaggio di posta elettronica, magari dal tuo amico, potrebbe essere stata una e-mail di phishing.

Inoltre, è possibile controllare le opzioni di recupero della password per il proprio account (ad esempio domande e risposte segrete o qualche e-mail secondaria) e modificarle. Anche se hai cambiato la password, ma se i metodi di recupero della password sono ancora noti al tuo amico, può reimpostare la password in qualsiasi momento.

Per quanto riguarda il regalo che viene dato al tuo account, non dovrebbe esserci alcun rischio.

    
risposta data 31.12.2017 - 05:32
fonte

Leggi altre domande sui tag