My Spam Trap Caught A Company - Quelle est la légitimité de leur réponse? [fermé]


9

J'ai mon propre domaine (appelons-le MyDomain.com) et mon compte de messagerie est configuré de sorte que tous les e-mails envoyés à @ MyDomain.com se retrouvent dans la même boîte aux lettres.

Alors, pensez à un mot, mettez-le devant @ MyDomain.com, envoyez-moi un e-mail, et je l'obtiendrai.

Lorsque je m'inscris sur SomeService.com, l'adresse e-mail que je vais leur donner est «someservice@MyDomain.com».

Cela signifie que si je reçois un e-mail de spam envoyé à 'someservice@MyDomain.com, je peux identifier' someservice 'comme ayant compromis mon adresse e-mail ... Du moins c'est ce que je pensais.

Lorsque j'ai attrapé une entreprise (une pharmacie à laquelle j'avais acheté des bouchons d'oreille), en ce qui me concerne, en flagrant délit, je les ai recherchés et j'ai obtenu la réponse suivante:

Je suis l'un des webmasters du portail commercial [SomeService]. Nous prenons la sécurité des données des utilisateurs très au sérieux car notre activité en dépend.

Nous avons été certifiés PCI par 2 agences indépendantes qui analysent régulièrement nos systèmes pour détecter les failles de sécurité.

Les e-mails peuvent fuir à plusieurs niveaux, y compris l'ordinateur des utilisateurs ou en transit en raison de renifleurs de réseau qui sont de plus en plus utilisés par des spammeurs professionnels.

Nous gardons non seulement nos systèmes derrière un pare-feu, mais nous chiffrons également les données des utilisateurs pour garantir la confidentialité, même de la part de notre propre personnel.

Je réitère que ce n'est pas quelque chose que nous approuvons et nous ferons une enquête interne pour nous assurer que nos systèmes sont propres. Cordialement [administrateur]

Que pensez-vous de cela? Certaines questions que je pose sont

  • Qu'est-ce que la certification PCI et puis-je prendre cela au sérieux / est-ce crédible?
  • Les affirmations de «fuite de courrier électronique» et de «renifleur de réseau» sont-elles crédibles?

Et toutes les pensées en général. Disons simplement que j'apprends.

Merci, James


Comment voulez-vous dire que vous pouvez identifier 'someservice' comme ayant compromis votre adresse e-mail? Conservez-vous un enregistrement de chaque adresse e-mail "someservice @" que vous avez utilisée?
Connor W

Oui. Je suis actuellement à environ 20. Et même si je ne l'ai pas fait, recevoir un e-mail comme celui-ci me rafraîchirait la mémoire. :-)
James Wiseman

2
@ Connor Le record est sûrement dans la partie «someservice». On s'inscrirait à "stackoverflow" avec une adresse "stackoverflow@mydomain.com" et utiliserait cette adresse e-mail pour rien d'autre. La question est, si un spam est adressé à "stackoverflow@mydomain.com", où le spammeur a-t-il obtenu l'adresse sinon de "stackoverflow"?
Neal

2
Certains spammeurs recherchent des domaines enregistrés, puis essaient de créer des adresses à partir de dictionnaires, il existe donc un autre moyen d'obtenir du spam. Si tel était le cas, cela aurait été envieux pour une configuration telle que celle décrite dans l'OP.
AndrejaKo

1
Je fais cela aussi et cela fonctionne très bien. Je n'ai eu qu'une seule instance d'un tiers donnant activement une adresse à des spammeurs. C'était apparemment le résultat de l'envoi de formulaires de remise pour un magasin d'électronique populaire. Cette adresse est maintenant bloquée.
Chris Nava

Réponses:


7

La certification PCI concerne probablement le PCI Security Standards Council , qui concerne principalement la sécurité des données des applications de paiement, plutôt que la sécurité des e-mails. En bref: aucun rapport avec votre demande.

En ce qui concerne les renifleurs sur votre réseau local, je ne pense vraiment pas que quelqu'un ait eu du mal à se connecter à votre domicile afin d'obtenir vos adresses e-mail. Encore une fois: pas lié à votre question.

Un pare-feu n'est pas une protection ultime, car il peut avoir des failles de sécurité débranchées, et il transmet de toute façon des e-mails qui peuvent convaincre les employés d'installer des logiciels espions derrière lui sur le réseau interne, qui devient alors grand ouvert au pirate.

Le cryptage des données utilisateur est bien, mais un virus peut toujours intercepter l'e-mail avant qu'il ne soit encodé.

Conclusion: Il s'agit d'un bla-bla haut et puissant dont le but est de cacher que le gars n'a aucune idée de la sécurité. Ne leur faites pas confiance, ils pourraient être pleins de virus et toujours naïvement confiants dans leur pare-feu.

Pour protéger votre messagerie, je vous suggère de jeter un œil à e4ward . Il a des comptes gratuits ou payants (seulement 10 $ par an) et permet un bien meilleur contrôle de votre messagerie, car il vous permet de supprimer ces types.


3

La conformité PCI est une norme de sécurité des données utilisée par ceux qui traitent les données de carte de crédit. Il est certainement possible de récolter des adresses e-mail de différentes manières. Si et à quelle fréquence cela se fait sur le fil est la question. La réponse ne précise pas s'ils vendent leurs adresses e-mail. Vous devriez pouvoir obtenir leur politique de confidentialité sur leur site Web ou sur demande et cela devrait couvrir ce problème. De plus, il pourrait être possible pour un initié de récolter des adresses (je ne sais pas comment PCI gère cette possibilité).


4
PCI n'a rien à voir avec la sécurité des e-mails. J'étais directeur d'un vendeur de PLV traitant de BEAUCOUP de problèmes PCI jusqu'au début de cette année, et j'ai (malheureusement pour moi) lu les documents et les normes de manière assez approfondie.
JNK

J'aurais également dû noter que les pharmacies aux États-Unis sont soumises à des réglementations sur la confidentialité des données qui n'ont rien à voir avec PCI. Je sais qu'ils s'appliquent aux ordonnances, mais je ne sais pas s'ils s'appliquent à d'autres transactions commerciales.
pause jusqu'à nouvel ordre.

3

Comme les autres réponses l'ont dit, le PCI est une question de sécurité du serveur / service et non de données personnelles.

Je pense que la réponse la plus probable est que vous n'avez tout simplement pas de chance.

J'exécute également une adresse e-mail fourre-tout sur mon serveur et je reçois des milliers de spams chaque jour - ces gens devinent simplement les combinaisons d'adresses. Ce n'est rien de spécial et plus vous possédez de domaine, plus vous aurez de spam.

Bien que, cela étant dit, vous ne pouvez pas exclure que cet endroit ait donné votre adresse e-mail, mais si c'est un grand endroit que vous devez vous demander, est-ce vraiment dans leur meilleur intérêt de le faire.

S'il s'agit d'un véritable spam non sollicité en vrac tel qu'un e-mail avec une pièce jointe ou des annonces de Viagra, il est peu probable qu'il provienne d'une liste vendue.


Bravo Wil. Je possède le domaine depuis 8 ans maintenant et j'obtiens une grande quantité de spam, la quasi-totalité étant détournée dans mon dossier spam. Je suis en fait ravi qu'une méthode que j'ai utilisée ait fonctionné. Ce n'est pas un grand endroit, et je ne serais pas surpris si cela en faisait une belle source de revenus supplémentaires.
James Wiseman
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.