Puis-je vous donner un exemple de la façon dont je pourrais vous exploiter?
L'un des forums (les fruits les moins suspendus) fait divulguer ses détails d'utilisateur, j'ai maintenant votre nom, votre adresse e-mail, votre mot de passe et je peux éventuellement résoudre certaines de vos habitudes de navigation.
Supposons que je n'ai pas votre mot de passe en texte brut, donc je vous envoie un e-mail vous informant que votre compte a été compromis, veuillez vous rendre sur ALFAR0ME0F0RUM.COM qui vous sert la page "changez votre mot de passe" comme prévu. Vous avez mis une variante de votre mot de passe normal, j'ai maintenant une variante de votre mot de passe normal en texte brut. Je peux maintenant facilement déchiffrer votre mot de passe d'origine, j'ai maintenant 2 de vos mots de passe recyclés.
Supposons maintenant que vous ayez utilisé un compte de messagerie non principal pour AlfaRomeoForum.com qui utilise les mots de passe recyclés. Je peux maintenant voir tous les services auxquels vous vous êtes inscrit avec cette adresse e-mail et deviner les mots de passe.
Vous avez acheté quelque chose en utilisant cette adresse e-mail, je sais maintenant ce que vous avez acheté et quand.
Ooh regarde, voici un service qui a ton adresse e-mail principale dessus (je suis connecté et c'est un nom d'utilisateur / mot de passe et tu as changé l'adresse e-mail à un moment donné)
Je peux maintenant téléphoner vous vous lever et vous poser des questions de sécurité en raison d'un problème avec votre commande. Vous avez configuré le compte il y a assez longtemps pour que vous ne vous souveniez pas qu'aucune question de sécurité ne vous a été posée lors de la configuration de ce compte de magasin.
Supposons que vous ayez un iPhone, je peux maintenant leur téléphoner pour un iCloud temporaire mot de passe, je peux répondre aux questions de sécurité parce que vous me les avez dites. J'ai maintenant accès à votre iMessage qui est également vos messages texte.
Je demande une réinitialisation du mot de passe de votre fournisseur de messagerie principal qui a besoin d'un code PIN qui est envoyé à votre téléphone par sms. J'ai maintenant accès à votre e-mail et je peux y accéder comme je l'ai fait pour l'autre.
Je ne peux actuellement pas penser à comment compromettre votre compte bancaire, mais pouvez-vous maintenant voir comment un seul trou de sécurité peut tout ouvrir? même si vous aviez utilisé votre adresse e-mail principale pour le compte d'origine qui a été compromis, j'aurais quand même pu partir à la recherche de vos comptes, c'est juste qu'ils auraient été plus difficiles à trouver.
si vous pensez que les gens ne le feraient pas voir ici