disposable-email-domains/disposable-email-domains は、使い捨てメールアドレスのサービスで提供されるメールアドレスのドメインを収集しているオープンデータです。
メールアドレスへの到達確認ができないと使えない・登録できないウェブサービスは多いでしょう。その一方で、登録したメールアドレスが流出するなどして後日無関係なスパムメールが送られてくる、という問題も起こります。
それを嫌がって、一時的にだけ転送が行われる使い捨てメールのサービスを使って、いわば「使い逃げ」してしまうサービス利用者も現れます。
9
今回のドメインリストは、そういった長期的に顧客となることがないユーザー、サービスの利用(掲示板への投稿など)に責任を持たずに逃げてしまうユーザー、を避けるという意味で、メール登録を要求するサービス運営者にとって有用なものではないでしょうか。
同時に提供されている allowlist.conf ファイルの方は、「使い捨てメールに間違えられやすいが使い捨てではないアドレスのリスト」ということで、これも有用でしょう。
ベルギーの「倫理的な」ハッカーが、フェイスブックのアカウント回復フォームを使って、メラニア・トランプ大統領夫人のメールアドレスを特定し、メールを送った、というニュースです。
ベルギー北部の人口8万人の町アールストを愛する Inti De Ceukelaire さん(@intidc)は、トランプ大統領のベルギー訪問にあわせて、夫人に「ベルギーのラスベガス、ただし金持ちとカジノとホテルは無い」アールストを訪問することを薦めたメールを送ったそうです。
OEPS! @FLOTUS haar privé mailadres lekt! Vriendelijk op gewezen (en meteen uitgenodigd in het wondermooie @Oilsjt) 🙂 pic.twitter.com/AQcvSRfdJp
— Inti De Ceukelaire (@intidc) May 24, 2017
昔からある「メールアドレスからFacebookアカウントを見つける」話ではなく、「Facebookアカウントを持ってる人のメールアドレスを当てる」話です。
必ずアドレスがわかるわけではなく、人によってはアドレスがわかってしまうかもしれないヒントが得られるということなのですが、その手順はこんな感じ。
ログインしてない状態で、「アカウントを忘れた場合」をクリックします
「アカウントを検索するには、メールアドレスまたは電話番号を入力してください。」と言われるのですが、ここでメールでも電話番号でもなく、名前を入れます。
そうすると、合致したり似ているユーザーが出てくるので、
ターゲットを選ぶと、こんな風に、アスタリスクで色々隠されたメールアドレスが表示されるというわけ。
ドメイン名の方は、@gmail.com などだとそのまま表示されるようですし、@y****.c*.jp みたいに隠されていても、よくある無料メールのドメインなら「あ、@yahoo.co.jp だなこれ」とわかることもあるでしょう。
アカウント名の方はというと、 c******8@ みたいに、先頭と最後の文字が表示されるようです。
メラニア夫人のメールアドレスがどんなものだったか、は@intidc さんもモザイクで隠しているのですが、当てることができたということは、ドメインはトランプ氏の関連のものかアメリカ政府関係のものか、あるいはgmail や yahoo mail 等のメジャーなものだったのかもしれません。
そして、アカウント名の方も、たとえば m*****a@ みたいな名前そのままとか、m*******1@ のように名前+数字数桁、が推測できるようなものだったのかもしれません。@intidc さんはスクリプトを回してメールが届くアドレスを探したようなので、後者のように総当たり可能なレベルで明らかなアカウント名だったのでしょうか。
名前等から推測できず、同じ人がツイッターやインスタグラム等別のサービスで使っているアカウントと同一でもなく、極端に短く(3文字で先頭と最後がばれたら後は簡単です)もなければ、必ずメールアドレスがばれる、という話ではなさそうですが、人によっては隠しているつもりのアドレスがまったく知らない他人に推測されてしまうこともありそうです。
via HLN.be via TheNextWeb