חוקרי אבטחה מזהירים: שמות משתמש דומים לשם האמיתי מסכנים את האבטחה והפרטיות

יש לערוך את הבחירה של שמות המשתמש בזהירות רבה, משום שהם עלולים לחשוף את פרטיו האמיתיים – כך ממליצים חוקרי אבטחה ממכון INRIA בצרפת. החוקרים מציינים, כי רבים מהכינויים המשמשים ברשת דומים מאוד לשמות האמיתיים של המשתמשים, והדבר עלול לסכן את האבטחה והפרטיות שלהם, במיוחד כאשר כינויים אלה משמשים לזיהוי בהרבה אתרי אינטרנט, פורומים ורשתות חברתיות.

הסיכונים כוללים מתקפות פישינג ברשתות חברתיות או דואר זבל ממוקד, והמידע הנשאב במתקפות אלה "יכול גם לשמש מפרסמים או מעסיקים עתידיים לאיתור מידע על המשתמשים", כתבו החוקרים. למרבה המזל, לפחות בכל הקשור לאבטחה, מתקפות כאלה הן עדיין עניין תיאורטי בלבד. "לא ידוע לנו עדיין על מתקפות בפועל", אמר דניאל פריטו ממכון INRIA ואחד העורכים של המחקר. "עם זאת, לא אופתע אם בעתיד הקרוב נהיה עדים למתקפות ראשונות שיתבססו על שאיבת מידע משמות משתמש".

שאיבת מידע על משתמשים מאתרי אינטרנט אינה תופעה חדשה: בשנה שעברה פורסם, כי חברות שמתמקדות בחקר מדיה, דוגמת נילסן (Nielsen), כמו גם סוחרי נתונים, נוברים באתרי אינטרנט ופורומים ומעתיקים כל דף וכל הודעה, בניסיון לדלות פרטים רבים ככל האפשר על צרכנים.

במסגרת המחקר בדקו אנשי INRIA רק אם ניתן לגלות זהות אמיתית על סמך שם המשתמש בלבד. אולם, במציאות נעזרים חוקרי שוק ועברייני רשת בנתונים רבים, מלבד הכינויים שבהם משתמשים ברשת – דבר שמגביר את היכולת לגלות זהות אמיתית על סמך כינויים אלה.

בין השאר, מוזכרת בדו"ח בקשה לרישום פטנט של אתר PeekYou.com. בבקשה מתוארת "שיטה לאיסוף פרטים אישיים זמינים ממקורות ציבוריים ברשת", על מנת לגלות זהות אמיתית על סמך כינויים שבהם משתמשים גולשים. מלבד בדיקה של שמות המשתמש נסמכת השיטה על מקומות גיאוגרפיים, מגדר, כתובות דואר אלקטרוני ואפילו מזל אסטרולוגי.

מהמחקר של INRIA עולה, כי שמות משתמש שכוללים את השם המלא של האדם יוצרים סיכון גבוה במיוחד. כך, למשל, שם המשתמש zorro1982 הוא גנרי למדי ואינו מסגיר את שמו האמיתי של האדם, אולם שם המשתמש dan.perito עלול להסגיר, בסבירות גבוהה, את שמו האמיתי של האדם.