Opettavainen tarina

Olipa kerran eräs suomalainen sivusto nimeltään “Pieni Päätös Päivässä”. Sivustolla oli erilaisia ruokavalio- ja liikuntalinkkejä. Mutta kävipä sitten niin että sivuston domain-nimi oli unohtunut maksaa ja 17.9.2007 pienipaatospaivassa.net -osoite siirtyi vapaille markkinoille.

Vähän sen jälkeen eräs bloggaaja laittoi Blogilistalle palautetta ja kertoi että hänen bloginsa on lakannut toimimasta. Kun blogiin meni selaimella, parin sekunnin päästä blogi katosi ja tilalle tuli iso kasa mainosikkunoita. Bloggaaja ihmetteli oliko Blogilista tai Blogger jotenkin syypää tähän.

Ongelma löytyi, mutta se ei johtunut Blogilistasta tai Bloggerista. Nimittäin blogin pitäjä oli kauan aikaa sitten laittanut bloginsa sivupalkkiin Pieni Päätös Päivässä -bannerin. Banneri latasi PPP-sivuilta hieman Javascript-koodia ja lisäsi blogin sivupalkkiin nätin ja hyväätarkoittavan mainoskuvan.

Kun pienipaatospaivassa.net -osoite vanhentui viisi vuotta sivun perustamisen jälkeen, osoitteen myyjä Network Solutions otti sivun välittömästi haltuunsa ja sijoitti sinne oman mainossivunsa. Entäpä sitten sivustolla aiemmin ollut Javascript-koodi? Sivuston uusi haltija vaihtoi koodin tilalle omansa.

Nyt kaikki viattoman bloggaajan sivuille saapuvat latasivat siis selaimeensa koodinpätkän uuden omistajan sivuilta. Koodi siirsi selaimen välittömästi mainossivulle ja laukaisi joukon mainosikkunoita. Ties vaikka Javascript-pätkä olisi yrittänyt asentaa haittaohjelmia tietokoneelle. Viaton bloggaaja oli ymmällään.

Tarinalla on useampiakin opetuksia:

  • Jos sivuillasi on Pieni Päätös Päivässä -banneri, ota se heti pois.
  • Pieni Päätös Päivässä -sivuston ylläpitäjien kannattaisi maksaa välittömästi domain-nimen uusintamaksu jos aikovat vielä saada sen itselleen.
  • Kun upotat sivuillesi mainosbannereita, nappeja, testituloksia, mainoksia tai mitä tahansa muuta krääsää muilta sivustoilta, muista välillä tarkkailla sivustoa. Jos se hylätään tai siirtyy uudelle omistajalle, upotettu tavara on syytä siivota pois.
  • Luulin Network Solutionsia hyvätapaiseksi firmaksi, mutta täytyypä uudistaa käsityksiään. Tiedän ainakin mistä en osta domain-nimiä.

Älä luota liikaa verkostoitumispalveluihin

Useissa verkostoitumispalveluissa on joukko toimintoja joiden avulla voi etsiä ystäviään. Yksi tällainen toiminto on sähköpostiohjelman osoitekirjan käyttäminen: voit esimerkiksi ladata palveluun käyttämäsi sähköpostiohjelman osoitekirjan ja katsoa, onko kukaan sähköpostituttavistasi kirjautunut palveluun.

Näin voi tehdä esimerkiksi Facebookissa ja Jaikussa. Näissä palveluissa on myös tuki Gmailille: annat palvelulle palvelulle Gmail-tunnuksesi ja salasanasi, jolloin palvelu pääsee katsomaan osoitekirjaasi.

Tällaisen käyttäminen vaatii tietysti luottamusta käytettyyn palveluun. Esimerkiksi Gmailin salasana toimii monella käyttäjällä avaimena yllättävän moneen paikkaan (Web-historia, Adwords- ja Adsense-tilit, dokumentit, kalenterit, sähköpostit yms). Jos tällainen salasana joutuu vääriin käsiin, seuraukset voivat olla ikävät.

Ei kestänytkään kauaa, ennenkuin ensimmäinen väärinkäyttö tuli ilmi. Kuten kaikki muutkin verkostoitumispalvelut, myös uusi tulokas nimeltään Quechup tarjoaa mahdollisuuden ladata Gmailin, Yahoomailin tai Hotmailin osoitekirjan ja etsiä sieltä ystäviä.

Mutta samalla Quechup lähettää tunnukseltasi sähköpostia kaikille osoitekirjasi jäsenille ja kutsuu kaikki kirjeenvaihtokumppanisi jäseniksi. Vastaanottajista näyttää siltä, että olisit itse laittanut kutsun, onhan siinä lähettäjänä tuttu nimi. Niinpä hekin rekisteröityvät Quechupiin ja mahdollisesti antavat oman sähköpostilaatikkonsa tunnukset… ja pian kaverin kaveritkin saavat spammia Quechupilta.

Lue lisää:

Techno//Marketer: Just say NO to Quechup

Scobleizer: Do NOT load Quechup

TechBlog: Quechup and the abuse of trust

Verkostoitumispalvelut ovat kovin muodikkaita juuri tällä hetkellä ja onkin siis ymmärrettävää että hämäräperäiset tahot alkavat nopeasti käyttää niitä hyväkseen. Tässä pari ohjetta jotka kannattaa pitää mielessä:

  • Älä anna nettisähköpostisi tai muiden palveluiden salasanoja millekään saitille jos olet vähääkään epävarma sen rehellisyydestä. Mieti mitä voi tapahtua jos rikollinen saisi salasanan käsiinsä. Jos siitä voi seurata vahinkoa, älä anna salasanaa. Vaihda salasanoja usein.
  • Älä IKINÄ anna salasanoja palveluihin, joissa käsitellään rahaa, joissa on luottokorttisi numeroita tai muita henkilökohtaisia tietojasi (päätepankit, Paypal, nettikaupat)
  • Suhtaudu kriittisesti sähköpostina tuleviin kutsuihin. Jos olet epävarma, kysy lähettäjältä oliko kutsu aito. Katso Googlen avulla, mitä kutsutusta saitista on sanottu netissä.
  • Kun lähetät kutsuja, laita niihin mukaan henkilökohtainen viesti niin että vastaanottaja tietää sen olevan sinulta. Suomen kieltä näkee harvemmin spammeissa.
  • Suhtaudu saitteihin epäluuloisesti. Jos joku vaikuttaa epäilyttävältä, odottele pari päivää ja katso asiaa sitten uudelleen. Onko saitista puhuttu blogeissa? Vieläkö se tuntuu epäilyttävältä?
  • Muista, että vaikka saitti itsessään onkin tunnettu ja oletettavasti luotettava, siihen liitettävät lisäosat eivät välttämättä ole. Esimerkiksi Facebook on yksi maailman suurimpia sivustoja ja tuskin ihan heti rikkoo käyttäjiensä luottamusta. Omaan profiiliin lisättävistä lisäosista ei sen sijaan ole mitään takeita.

Lisää kommentteihin omia vihjeitäsi.

Blogilista-uutisia

Päivitin Blogilistan tarkistusbottia viime viikon lopulla ja sen seurauksena osaan kauan sitten päivittämättömänä olleista blogeista tuli viikonlopun aikana haamupäivitys. Haamut jakautuivat useammalle päivälle tarkistuksen aikataulutuksen vuoksi. Pahoittelen mahdollista harmia!