Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'analisi

Servizi mail gratis, le clausole contrattuali e i rischi privacy: il test

Le clausole contrattuali dei servizi email gratuiti possono essere sfruttate dai malintenzionati, con conseguenze per la privacy degli utenti. Il consiglio è quello di leggere con attenzione il contratto al momento della sottoscrizione del servizio

23 Ago 2019
C

Sergio Caruso

Security Analyst, Malware Analyst, Phishing and SCAM Hunter, Independent Threat Researcher


Avere una email completamente gratuita è ovviamente un enorme vantaggio, sia in termini di praticità che economici: tuttavia, bisogna fare attenzione alle clausole contrattuali e alle loro implicazioni per la privacy.

Il mancato rispetto di tali clausole infatti, potrebbe comportare una perdita di riservatezza dei dati personali e quindi la possibilità di perdere l’accesso ai vari account registrati. Malintenzionati ed esponenti del cyber crime potrebbero approfittarne. Per mostrare in che modo e con quali conseguenze, in questo articolo si raccontano i risultati dei test svolti sui più grandi portali che offrono caselle email gratuite, valutando le eventuali clausole per far chiarezza sul tema. Tutti gli indirizzi email presenti in questo articolo, non sono stati registrati o sfruttati, è stata solo verificata la reale disponibilità degli stessi.

Le clausole contrattuali

Per ogni servizio sottoscritto ovviamente c’è un contratto che noi accettiamo integralmente e obbligatoriamente. Per esempio, in Termini e Condizioni del servizio Mail.com possiamo leggere: “If your account is not a Premium Services email account, you are required to log in to your account periodically, but no less that once every six months, in order to maintain the account. You agree that in the event mail.com determines, in its sole discretion, that you have not logged in to your account for more than six months, mail.com may, without any liability to you, and in addition to any other remedies, terminate or suspend your account and erase any materials associated therewith from mail.com’s Equipment without notice to you”. 

In Termini e Condizioni del servizio Email.it possiamo leggere: “Nel caso dei servizi di posta elettronica gratuiti, se l’Utente non accede alla propria casella di posta per un periodo superiore a 60 giorni consecutivi, Email.it si riserva la facoltà di disattivare la casella stessa. La disattivazione della casella prevede anche l’eliminazione di tutti i messaggi in essa contenuti, messaggi che non saranno più recuperabili. Se l’utente accede nuovamente nel periodo successivo a quello sopra indicato – ma comunque entro i 180 giorni successivi alla disattivazione – potrà registrare nuovamente il proprio indirizzo di posta, mentre non saranno in nessun caso recuperabili i messaggi e le altre informazioni collegate (es. rubrica) presenti precedentemente alla disattivazione”.

In Termini e Condizioni del servizio Libero.it possiamo leggere invece: “Nel caso in cui l’Utente non acceda alla propria casella di posta elettronica per un periodo superiore a 120 giorni, Italiaonline si riserva la facoltà di disattivare la casella stessa. A partire dalla data di disattivazione, verrà interrotta la ricezione di nuovi messaggi nella casella di posta elettronica. Se l’Utente accede nuovamente alla casella di posta elettronica nel periodo successivo a quello sopra indicato (120 giorni) – ma comunque entro 270 giorni dall’ultimo accesso – potrà riattivare la propria casella di posta elettronica, ma non saranno in nessun caso recuperati i messaggi ricevuti dopo la disattivazione. Se invece l’Utente non accede alla propria casella di posta elettronica per un periodo superiore a 270 giorni, Italiaonline si riserva la facoltà di disattivare definitivamente la casella stessa, mantenendo comunque riservato l’Account che potrà essere riattivato in qualsiasi momento, entro i successivi 180 giorni. Qualora l’Utente non acceda alla propria casella di posta elettronica, per tale ulteriore periodo di 180 giorni, Italiaonline si riserva la facoltà di cancellare definitivamente anche l’Account dell’Utente, che pertanto non potrà più essere riattivato, e di consentire ad un altro Utente che lo richieda di utilizzare lo stesso Account. La cancellazione definitiva dell’Account comporta la cancellazione da tutti i Servizi, nonché la cancellazione dei nick associati all’Account e di tutti gli eventuali contenuti creati dai suddetti nick”.

Cosa significa nella pratica? Significa che se l’utente maldestro lascia scadere la propria casella email nei tempi citati (differente per ogni servizio), mette a rischio i propri dati personali e tutti i servizi collegati a quell’indirizzo. C’è da sottolineare che ciò è imputabile esclusivamente alla condotta errata dell’utente e non al fornitore del servizio, dato che è chiaramente scritto nel contratto. Cosa rischia l’utente che ha deciso di far scadere il servizio di posta free? Testiamo i differenti servizi disponibili.

Clausole e privacy: il test su Mail.com

Il portale Mail.com offre servizi di fornitura indirizzi email free e a pagamento. In fase di registrazione, leggendo i termini e condizioni, dobbiamo far caso in particolare a ciò: “Se il tuo account è stato sospeso da mail.com per qualsiasi motivo, il tuo indirizzo e-mail potrà essere conservato da mail.com a sua esclusiva discrezione. Dopo tale periodo di conservazione, il tuo indirizzo e-mail potrebbe essere rilasciato e reso disponibile a un altro cliente.”

Quindi dopo suddetta scadenza, l’indirizzo sarà reso nuovamente disponibile per una nuova registrazione da parte di altri utenti. Teniamo ben presente che l’indirizzo email potrebbe essere stato usato per registrazioni su portali bancari, shop online e simili (Paypal, Ebay, Amazon, Home Banking, Twitter, Instagram, Facebook ecc…). Una seconda registrazione di quell’email, permetterebbe a un utente di accedere a tutti i servizi citati, senza nessuna restrizione e prendendo il pieno possesso dell’account e dell’identità del vecchio proprietario. Vediamo nel dettaglio come potrebbe essere sfruttata questa clausola da qualche malintenzionato.

Step 1 – La registrazione

Visitando la pagina principale del dominio mail.com, abbiamo la possibilità di registrare una casella email.

Figura 1 – Form di registrazione indirizzo email

Step 2 – La compilazione del form

Compilando il form di registrazione, è possibile controllare subito se il nome utente (email) è disponibile o meno. Nell’immagine sottostante, l’indirizzo email risulta libero e quindi registrabile, inserendo i dati personali richiesti.

Figura 2 – Test sulla disponibilità dell’indirizzo email

Step 3 – La registrazione

A questo punto, l’indirizzo email diventa di proprietà del registrante.
La registrazione avviene in piena regola, quindi un ignaro utente che ha inserito i propri dati, diventa proprietario dell’email. Nei vari servizi online, dove il precedente proprietario risultava già registrato, in fase di creazione di un nuovo account, si otterrà un errore sulla presenza di un account con quei dati. Effettuando una prova su Twitter si otterrà il seguente risultato.

Figura 3 – Prova della presenza di un account Twitter con l’indirizzo email scelto.

Effettuando un reset, sarà quindi possibile ottenere la reimpostazione della password e quindi l’accesso all’account senza restrizioni.

Step 4 – La verifica di altri domini

Successivamente si è provveduto a verificare se altri domini offerti per la registrazione, potessero essere utilizzati come il precedente. Per questa successiva prova si è preso come esempio il dominio email.com. Anche questa volta, si è solo verificata l’effettiva disponibilità dell’indirizzo, senza procedere con la registrazione.

Figura 4 – Verifica della disponibilità dell’indirizzo email.

Figura 5 – Prova della presenza di un account Twitter con l’indirizzo email scelto.

Anche in questo caso è presente su Twitter un account registrato con quell’indirizzo, nel caso si procedesse con un reset della password, come nel primo caso, si otterrebbe l’accesso all’account senza restrizioni.

Step 5 – Instagram e Facebook

Le prove non sono rimaste circoscritte esclusivamente a Twitter, ma le verifiche sono state ampliate ad altre piattaforme come Instagram e Facebook.

Figura 6 – Verifica della presenza di un account registrato su Instagram.

Figura 7 – Verifica della presenza di un account registrato su Facebook.

Step 6 – La verifica di un ulteriore dominio

A campione è stato preso un ulteriore dominio disponibile per la registrazione di un’email. Questa volta è stato preso in esame asia.com.

Figura 8 – Verifica della disponibilità dell’indirizzo email.

Figura 9 – Verifica della presenza di un account registrato su Facebook.

Test su Email.it

Prendendo in esame il servizio email.it, abbiamo trovato praticamente la stessa situazione. Il test ha dato esito positivo con l’indirizzo riportato nell’immagine sottostante. In questo specifico caso, l’indirizzo risulta disponibile per una registrazione a pagamento, ma non ancora per una free.

Figura 10 – Verifica disponibilità email

Figura 11 – Verifica della presenza di un account registrato su Facebook.

In quest’altro caso l’indirizzo è disponibile per la registrazione completamente free.

Figura 12 – Indirizzo disponibile per la registrazione

Dopo aver validato l’effettiva disponibilità dell’account, senza procede a nessuna registrazione, si è controllato quali servizi potessero essere già stati registrati. Effettuando qualche ricerca con dei Google Dorks, si è avuto il primo risultato, ovvero una registrazione su Privalia.

Figura 13 – Account esistente su Privalia.

Dato che il vecchio utente aveva un account per acquisiti online, si è cercata una possibile registrazione sui portali di pagamento più diffusi. Il primo verificato è stato Paypal ed effettivamente risultava già presente una registrazione.

Figura 14 – Presenza di un account registrato su PayPal.

Test su Libero.it

Prendendo in esame il servizio Libero.it, abbiamo anche qui trovato la medesima situazione.

Figura 15 – Verifica disponibilità dell’account email.

Figura 16 – Verifica della presenza di un account su Facebook.

Conclusione

In conclusione è possibile affermare che i servizi di fornitura di indirizzi email citati nell’articolo, così come gli altri non menzionati ma che applicano le medesime condizioni contrattuali, sono nel giusto. La problematica evidenziata è esclusivamente a carico dell’utente finale, che spesso (o quasi mai) legge il contratto stipulato per un servizio. La condotta errata, porta quindi a un’esposizione dei propri dati personali.

Sarebbe dovuto essere compito dell’utente finale, in vista della disattivazione della casella:

  • Modificare e quindi disassociare l’indirizzo nelle registrazioni su Social Network;
  • Chiudere o modificare gli accessi a conti bancari e Shop Online;
  • Abilitare l’autenticazione a due fattori;
  • Procedere alla disattivazione di tutti i servizi ad essa correlati.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5