Paweł Goleń, blog

Akurat w tym przypadku wysłanie pisma na ten konkretny adres może być uzasadnione, choć nie wiem, czy to zbieg okoliczności, czy procedura przewiduje takie rozwiązanie tego problemu. A problem jest poważniejszy, niż się może wydawać. Przykłady dwóch sytuacji:

• zmiany adresu e-mail w jakimś serwisie,
• zmiana numeru telefonu komórkowego,

Wiele serwisów (w tym bankowych) korzysta z poczty elektronicznej do przekazywania użytkownikowi różnych informacji, powiadomień. W szczególności adres ten może być wykorzystywany w procedurze "odzyskiwania hasła". W takim przypadku zmiana adresu e-mail może być wykorzystana do przejęcia konta użytkownika z wykorzystaniem prostego scenariusza: zmienić adres e-mail, wykonać procedurę odzyskiwania hasła. Trzeba się jakoś upewnić, że operacja zmiany adresu e-mail jest "uprawniona". Trzeba również zweryfikować poprawność nowego adresu e-mail. Patrząc od końca - weryfikacja nowego adresu e-mail jest często realizowana w ten sposób, że użytkownik otrzymuje na nowy adres wiadomość z "linkiem aktywacyjnym". Procedura zmiany adresu jest realizowana dopiero po kliknięciu przez użytkownika stosownego linku, co potwierdza, że wiadomość dotarła do adresata. Procedura ta jednak w żaden sposób nie potwierdza, czy osoba zlecająca zmianę adresu, jest osobą uprawnioną (właścicielem konta). Teoretycznie można wysyłać wiadomość również na stare konto, ale skoro użytkownik zmienia adres, może to oznaczać, że nie ma dostępu już do starego konta. To jest dobra analogia do zmiany adresu korespondencyjnego - można było wysłać informację na wciąż zapisany adres korespondencyjny, ale ja jej nie otrzymam.

W przypadku zmiany adresu e-mail problem ten jest rozwiązywany często w ten sposób, że:

• operacja zmiany adresu wymaga dodatkowego potwierdzenia (na przykład ponowne podanie hasła),
• na nowe konto wysyłany jest "link aktywacyjny",
• na stare konto wysyłana jest informacja o zmianie,

Dlaczego wysyłać informację o zmianie? Zakładając, że ktoś chce przejąć konto użytkownika w aplikacji, najlepiej jeśli właściciel konta nie będzie o tym wiedział. Przesłanie wiadomości o zmianie pozwoli użytkownikowi, przynajmniej w teorii, zorientować się, że ktoś przejmuje jego konto - dostaje w końcu informację o wykonaniu operacji, której w rzeczywistości nie wykonał. Jeśli konto to nie jest już kontrolowane przez oryginalnego użytkownika - nic się nie dzieje.

W przypadku bankowości internetowych, telefon komórkowy może być wykorzystywany nie tylko do wysyłania powiadomień, ale i do przesyłania kodów SMS do autoryzacji transakcji. W rezultacie udana zmiana numeru telefonu komórkowego może pozwolić atakującemu na wykonanie dowolnej operacji na koncie ofiary. Tutaj przyjętą praktyką jest autoryzacja operacji zmiany numeru telefonu komórkowego przy pomocy kodu SMS wysłanego na (jeszcze) aktywny numer telefonu. Osobiście mam pewne zastrzeżenia odnośnie tej metody. Uzupełniłbym ją o jeszcze jeden krok - kod SMS wysłany na nowy numer telefonu komórkowego. Jego podanie przez użytkownika byłoby analogiczne do kliknięcia przez niego "linku aktywacyjnego" przesłanego w e-mail. Patrząc jednak na "wartość dodaną" tego kroku, jego brak nie jest tak naprawdę poważnym problemem. Jeśli użytkownik pomylił się i wpisał nieprawidłowy numer telefonu, odciął sobie tym samym dostęp do wykonywania operacji w bankowości internetowej, czeka go spacer do oddziału i wypełnienie dyspozycji zmiany numeru telefonu. Gorzej jeśli nie zorientuje się, że podał zły numer, może wówczas wykonać kilka nerwowych telefonów na infolinię banku (z pretensjami, że nie działa), zwłaszcza, jeśli są na przykład akurat okolice 10, 20 lub 25 dnia miesiąca.