Mijn advies:
NIET GEBRUIKEN.Of het een bug is of opzet weet ik niet, maar als je in
https://tijdelijke-email.nl/ op "Ga naar jouw inbox" klikt, krijg je in een deel van de gevallen mails te zien die
niet voor jou bestemd zijn (zo te zien steeds van bijna 3 dagen geleden). Daaruit kun je vaak eenvoudig achterhalen (o.a. op basis van reclame-mails) waar de betreffende persoon een account heeft en een wachtwoord-reset uitvoeren (anderen hierboven waarschuwden ook al voor dat risico, maar zo gaat dat wel heel eenvoudig en hoef je niet eens accountnamen te proberen met IDOR naar
https://tijdelijke-email.nl/inbox/#/vulmaarin).
VoorbeeldVanochtend kwam ik vanzelf in een account [redacted]@tijdelijke-email.nl waarin 2 e-mails zichtbaar waren: de eerste van acties.nl en de tweede van kwantum.nl. Die tweede mail begon met (middels "
[redacted" heb ik zowel de kennelijke achternaam van deze mevrouw als haar account bij tijdelijke-email onherkenbaar gemaakt):
Maak je klaar voor het voorjaar!
Kwantum <nieuwsbrief@e.kwantum.nl>
2021-03-04 19:45:14
Aan: Marijke [redacted] <[redacted]@tijdelijke-email.nl>
Kwantum
Bekijk de webversie:
[...]
De vermoedelijk echte achternaam van deze (waarschijnlijk) mevrouw weet ik nu. Bovendien kan ik met deze info op kwantum.nl een wachtwoordreset uitvoeren, wat er hoogstwaarschijnlijk toe leidt dat op dit
tijdelijke-email account een link binnenkomt waarmee ik haar account kan overnemen. Als een kwaadwillende dat doet sluit ik niet uit dat deze het afleveradres in de kwantum-gebruikersinstellingen van die mevrouw kan wijzigen en wellicht op haar naam bestellingen kan doen waar zij de rekening voor krijgt.
Waarschuwen of niet?Ik heb overwogen om te proberen haar kwantum-account over te nemen in de hoop dat ik daarmee contactgegevens van die mevrouw zou kunnen vinden - om haar daarmee te waarschuwen. Dat heb ik niet gedaan omdat:
- Ik daar feitelijk identiteitsfraude mee zou plegen;
- Ik niet zeker weet of ik dan voldoende gegevens heb om die mevrouw te waarschuwen;
- Als er aanvullende contactgegevens zijn ingevuld (adres en/of telefoonnummer) ik niet zeker weet of die niet nep zijn;
- Ik zo wel aan de gang kan blijven met mensen waarschuwen (terwijl, notabene op security.nl, meerdere mensen aangeven zo'n systeem een goed idee te vinden en ik zo water naar de zee draag).
Een voordeel en nadeel is dat ik die mails kon verwijderen. Dat is een voordeel omdat daarmee deze mevrouw mogelijk leed wordt bespaard. Wat ik niet weet is of
iemand anders haar kwantum.nl account al heeft overgenomen en de bijbehorende wachtwoord-reset mail daarna heeft weggegooid, en eerdere mails heeft laten staan.
Sowieso fout van deze site is dat iedereen,
zonder inloggen, in mailboxen van anderen kan kijken. Ik zie geen privacy-policy en weet niet of degenen die hierachter zitten, te goeder trouw zijn (en wat hun verdienmodel is). In elk geval kunnen
zij natuurlijk eenvoudig accounts kapen als zij dat zouden willen.
Zelf doorgevoerde testAls test heb ik vanochtend een account "clavicula" aangemaakt op security.nl, met
casfaof als accountnaam bij
tijdelijke-email.nl. Dat ging probleemloos. De activeringsmail in
https://tijdelijke-email.nl/inbox/#/casfaof heb ik verwijderd. Daarna heb ik besloten om een wachtwoord-reset te testen: de bijbehorende mail heb ik laten staan in bovengenoemde "inbox" (en is momenteel nog te zien in
https://tijdelijke-email.nl/inbox/#/casfaof). Vriendelijk verzoek om deze niet te verwijderen zodat anderen deze ook kunnen zien!
Mocht die mail toch worden verwijderd: in
https://imgur.com/a/f4X3VTR vind je een screenshot.
ConclusieRealiseer je dat je zelf geen wachtwoord-reset meer kunt doorvoeren als zo'n partij ophoudt te bestaan (of jouw "inbox" heeft opgedoekt, of deze later, -
nu wel password protected- aan een ander heeft toebedeeld. Ik zou zo'n dienst hooguit gebruiken als ik er een account kon aanmaken, de eigenaren zou vertrouwen en ervan uit kan gaan dat zo'n dienst voorlopig blijft bestaan. Als iets gratis is, moet er wel ergens een addertje onder het gras zitten. Ongewenste mail is vervelend, maar identiteitsfraude met jouw accounts kon wel eens veel lastiger zijn om mee te dealen.