Služba Unroll.me slibovala poměrně užitečnou věc. Postará se o „odhlášení“ ze všech mailing listů, kam jste se (dobrovolně či nedobrovolně) přihlásili. Zadarmo, snadno. Stačí jí dát přístup do vaší poštovní schránky a Unroll.me zajistí vše potřebné. Je možné, že jste uvěřili, že to opravdu dělá. Je možné, že jste si to jen tak vyzkoušeli – a Unroll.me má možná ještě stále přístup k vaší poštovní schránce.

Je to skoro učebnicový příklad. Nikdy není nic zadarmo. Žádná služba nebude vynakládat peníze na to, aby vás jen tak „odhlásila“ z e-mailingů, potřebuje z něčeho žít. A Unroll.me žije z toho, že prodává informace o uživatelích dalším společnostem. Jak se ukázalo na konci dubna 2017, jejich služeb využil například Uber aby mohl tak nějak získat informace o konkurentovi.

Na jednu stranu je to velmi chytré. Zprovozníte službu nabízející něco zdarma, někam do podmínek dáte, že vše, co zjistíte, můžete využívat, pak už jen čekáte, až se dostatek lidí nachytá. Buď si nepřečtou podmínky, nebo je nenapadnou možné souvislosti. A pak už jenom sedíte, točíte palci, a získaná data prodáváte komukoliv kdo zaplatí.

Unroll.me (ani žádná jiná podobná služba) vás navíc ve skutečnost z odběrů e-mailingů neodhlásí. Unroll.me to dělá tak, že pravidelně maže všechny e-maily, které jste identifikovali jako nežádoucí.

Ověřte si, že Unroll.me nemá přístup

Pokud jste si s touto službou nějakým způsobem začali, první, co byste měli velmi rychle udělat, je to, že si ověříte, jestli jste Unroll.me dali přístup (případně i dalším službám) ke své poště a toto oprávnění zrušit (viz níže). Ve vašem poštovním účtu navíc ještě zpravidla najdete složku Unrollme – tu je také dobré smazat. Nezapomeňte odinstalovat aplikací (pro iOS, pokud ji máte) a případně změnit všechna hesla (o tom ale ještě více níže).

V Googlu to znamená, že zajdete na myaccount.google.com, v části Sign-in & Security/Přihlášení a zabezpečení (vlevo) najdete Connected apps & Sites/Přidružené aplikace a weby a tam klikněte na Manage Apps/Spravovat aplikace (můžete prostě jít rovnou na poslední odkaz, nemusíte jít celou cestu).

Možná překvapeně zjistíte, že přístup k vaší poště mají aplikace (a služby), o kterých nemáte nejmenší tušení. Vyhoďte Unroll.me (a neváhejte s vyhozením Deseat.me a dalších podobných) a není špatný nápad si projít i ostatní a vyhodit i ty, které už nepoužíváte.

Vyhození je poměrně snadné, rozkliknete a kliknete na modré Odebrat. To, že něco má přístup k vaším e-mailům, tam poznáte snadno – bude mít uvedeno „Gmail – Čtení, odesílání, mazání a správa e-mailů“. Tím „Gmail“ se nenechte mýlit, tohle vše platí i pro GSuite (dřívější Google Apps).

Pokud si nejste jisti, co některé služby znamenají, tak si je zkuste klasicky dohledat přes Google. Třeba takové „Thoai Media Services“ – u toho zjistíte, že dnes už nejspíš ani neexistuje (v mém případě to byl pozůstatek testování služeb pro přesun mezi cloudy). A je to také dost dobrý důvod proč to odstranit.

Pokud jste Unroll.me použili s nějakou jinou službou (přihlašuje se tam přímo konkrétní e-mailovou službou), tak musíte totéž udělat v ní. Vedle Googlu ještě Unroll.me podporuje Yahoo, Outlook a AOL.

V Outlooku musíte jít na account.live.com/Consent/Manage (tedy Aplikace a služby, kterým jste dali přístup) a tam najdete přehled všech aplikací s přístupem k vašemu účtu. Najděte Unroll.me a odeberte.

Pro Yahoo je odkaz api.login.yahoo.com/WSLogin/V1/unlink (Manage App and Website Connections).

Unroll.me má i aplikaci pro iOS, takže pokud jste si ji pořídili, je potřeba se jí zbavit. Znamená to navíc to (pokud jste si ji pořídili), že získala přístup i k vašemu iCloud účtu. Měli byste jí tedy odebrat přístup a odstranit ji z telefonu (či tabletu).

Smažte účet u Unroll.me

Druhým krokem, který je dobré udělat, je smazání účtu v Unroll.me. Stačí jít na www.unroll.me, přihlásit se, kliknout na vaše uživatelské jméno a přejít do Settings (Nastavení). Když budete dobře hledat, najdete tam Delete my account (Smazat můj účet). Kliknete a doufejte, že Unroll.me něco opravdu maže. Protože z historie víme (Facebook, Snapchat a záplava dalších), že skutečné smazání se v těchto případech odehrává málokdy.

Už nikdy nedávejte přístup k e-mailu

Poučení z této kauzy je pořád stejné – přístupy k e-mailu ani kontaktům se žádné aplikaci nedávají. Tohle poučení jsme získali už před lety třeba v kauzách okolo LinkedIn a zneužívání toho, že přesvědčili lidi, aby dali téhle službě přístup. Víme to také z dob, kdy Facebook udělal totéž se všemi kontakty a pečlivě je zhodnotil nad rámec prostého „vyhledávání vašich přátel co mají Facebook“.

Dávat plný přístup k e-mailu znamená, že si někdo zjistí, s kým vším si píšete (kdo píše vám, komu píšete vy). Může si stáhnout kompletní obsah všech mailů, takže zjistí i o čem si píšete. Zjistí, jak služby používáte a může je kdykoliv převzít, protože si nechá do vašeho mailu poslat reset hesla. Vy se o ničem takovém nedozvíte, protože všechny tyhle aktivity bude dělat skrytě.

Z výše uvedeného plyne, že pokud jste naletěli na Unroll.me, tak jsou potenciálně ohroženy všechny účty, které jste založili s e-mailovou adresou, ke které jste dali Unroll.me přístup.