Dans quelle mesure devrais-je craindre que mon gmail affiche un accès IMAP à partir d'une instance Amazon EC2?

8

Lorsque je clique sur ce lien au bas de l' écran de mon gmail où il est dit « Dernière activité du compte: il y a 0 minutes à IP 50.19.49.49 Détails ». Je clique sur le lien et bien sûr, il montre les accès à partir de ma propre IP (IMAP et navigateur), mais il montre également l'accès IMAP à partir de cette IP 50.19.49.49, qui semble appartenir à une instance Amazon EC2. Je ne vois aucune raison pour laquelle une instance EC2 accèderait à mon courrier électronique. Dois-je m'inquiéter?

Mise à jour : j'ai changé mon mot de passe il y a une heure et me suis reconnecté depuis mon navigateur et mon iPhone, puis je suis allé dîner. Maintenant, il affiche les accès depuis mon adresse IP personnelle (navigateur et IMAP) et les accès IMAP depuis 50.19.49.49 (Amazon EC2), 198.227.195.87 ("Service Provider Corporation") et 166.137.137.85 (AT&T). Donc, AT&T ou Apple utilise 50.19.49.49, ou une autre application sur mon iPhone a obtenu mon mot de passe gmail et le partage avec des gens qu'ils ne devraient pas.

security gmail Paul Tomblin
la source
Utilisez-vous Backupify?
Sathyajith Bhat
Hmm, un regard sur mon activité indique un accès depuis le 50.19.10.233 et je n'ai pas d'iPhone, ni mon opérateur AT&T
Sathyajith Bhat

Réponses:

4

De nombreux services dépendent désormais de l'EC2 qu'il peut être difficile de déterminer lequel fait quoi, mais c'est presque toujours légitime lorsque vous voyez ce type d'activité d'Amazon.

Je dirais normalement que ce n'était absolument rien à craindre, mais étant donné le crash récent (et spectaculaire) du cloud Amazon, vous pourriez envisager un changement de mot de passe juste pour être sûr.


la source
2
Essayez de penser s'il y a n'importe quel service que vous avez autorisé à accéder à votre messagerie - il y a de fortes chances que presque tout puisse utiliser Amazon EC2 pour déléguer ses tâches d'extraction de messagerie. Peut-être une sorte de client mobile qui fonctionne avec un serveur extérieur pour stocker des données?
1
L'une des raisons pour lesquelles je m'inquiète est que EC2 est utilisé par de nombreuses entreprises légitimes, mais il est également utilisé par les spammeurs et d'autres qui aiment couvrir leurs traces et savent qu'ils peuvent facilement passer à une nouvelle adresse IP si leur adresse actuelle commence à être bloquée.
Paul Tomblin
3

Je l'ai compris - c'était "Xobni pour Chrome".

J'avais désactivé le plugin, mais d'une manière ou d'une autre, il a réussi à retransmettre mon mot de passe modifié au vaisseau mère, bien qu'il ait été désactivé. J'ai supprimé le plugin entièrement et leur ai dit de purger mon compte.

Paul Tomblin
la source
3
Vous pouvez simplement révoquer l'autorisation Xobni ici accounts.google.com/b/0/IssuedAuthSubTokens
al.dexter
2

Je vis la même chose.

J'ai enregistré un ticket d'abus suspect avec Amazon car je ne connais pas l'identité de ces serveurs, mais 24 heures plus tard, je n'ai rien entendu d'autre que la reconnaissance que quelqu'un utilisait ce serveur à l'époque.

Le support Google Enterprise a répondu de manière très utile et a enquêté sur le problème: toutefois, il n'a pas été en mesure de fournir plus d'informations sur l'identité de l'accès.

Depuis lors, j'ai changé mon mot de passe, ajouté une authentification à 2 facteurs (n'affecte malheureusement pas l'accès IMAP), révoqué tous les mots de passe spécifiques à l'application et élagué tous les services qui y ont accès, et les connexions IMAP se sont toujours produites. Cela m'a déconcerté ...

J'ai ensuite constaté que j'avais deux services Google Apps Marketplace configurés au niveau du domaine (panneau de configuration de domaine pour Google Apps for Business) avec accès à l'API de messagerie - CapsuleCRM et GQueues.

Celles-ci ont maintenant été désactivées et j'attends encore 24 heures pour voir si c'est tout.

** Pointeur vers Google: pour éviter que nous ne nous fassions tous peur, pourquoi ne pas indiquer quelle application autorisée accède au compte dans la page Journal d'activité?

Ben
la source