单个 IP 地址访问我发送的电子邮件中的私人 URL

单个 IP 地址访问我发送的电子邮件中的私人 URL

我是一家小型翻译公司的 IT/程序员。我刚刚向我们遍布全球的翻译人员发送了电子邮件,其中包含一个唯一的 URL,以便他们访问我们的网站并更新密码。例如:http://mysite.com/update/080F9326-491D-11E0-B806-D028DFD72085

唯一的 URL 为捕获它的任何人提供完全访问权限;因此我已对所有电子邮件进行了 PGP 加密(我们的数据库中为每个翻译人员提供了一个公钥)。

奇怪的地方在于:

  • 我发送电子邮件 5 分钟后,开始出现异常
  • 我的代码中有一个错误导致了异常(do'h!)
  • 通过查看 IIS 日志,发现 1 个 IP 地址访问了所有唯一 URL - maxmind.com 显示该 IP 位于俄亥俄州哥伦布市

链接被点击得太快,以至于无法到达预期的收件人;我知道黎巴嫩的一位翻译朋友在他的链接被点击时还没有收到电子邮件。

有谁见过类似的事情吗?

答案1

这是我要做和检查的事情:

(所有这些都取决于你的偏执程度和数据的机密性,为下一个 ueber-web-facebook-flash 游戏所做的翻译并不像为计划进行国际缉毒并需要传递信息的法律团体所做的翻译那么机密)

  • 首要的是:使所有已发送的 URL 无效
  • 密码保护一切,但不要告诉任何人密码

一切尽在你的掌控之中

  • 消息真的是加密(可能刚刚签名)
  • 检查执行加密的机器是否存在恶意软件(它是否是某个可公开访问的网关,是否是“真正的端到端加密”)
  • 有人在不使用恶意软件的情况下获得了私钥:
    • 重复此过程并检查日志
    • 使用新密钥重复该过程并检查日志 - 告知收件人有关新密钥的信息
    • 使用新密钥重复该过程并检查日志 -分发新密钥

事物不是在你的控制之下

  • 收件人机器上存在恶意软件

找出谁是坏人

  • 发送一个独特的所谓的安全URL对每一个相关人员未加密
  • 发送一个独特的所谓的安全URL对每一个相关人员加密-- 这实际上是可选的

(抱歉,但通过 GPG 发送未受保护的 URL 与以纯文本形式发送受保护的 URL 几乎相同 - 脚本小子会发现那些东西 - 而且根据我的经验,在服务器端进行保护对于企业来说更有价值,因为您可以更好地控制)

最后

我有一个朋友,他一直为自己在所有邮件对话中使用 PGP 而感到自豪。直到他发现自己意外地导出了他的私钥,并一直发送私钥,而不是公钥-- 当时觉得很有趣,但你永远不知道是什么击中了你(现在不是我了,我太懒了,不想用 PGP 加密我的邮件并向客户解释,我通常使用一些加密的 ZIP 文件或其他非技术人员无需解释就可以使用的东西)

为你的翻译人员设置一次性密码。通过普通邮件向他们发送新内容。

此外,我假设您有书面同意不泄露任何信息,并且您绝对确定这不是偶然的,某个有技术背景的人在编写脚本接收加密邮件并自动执行其他操作。

此外(再次强调),任何收件人都有可能委托分包商来完成实际工作,并且邮件被转发(可能带有解密所需的密钥)

最后但同样重要的一点是:有一种称为移动访问的东西,您是否给每个人都打过电话以确保这不是来自您意想不到的地方的有效访问?

相关内容