Досадный баг ВКонтакте

С недавних пор (около года назад), социальная сеть ВКонтакте в агрессивно принудительной форме стала собирать номера мобильных телефонов участников этой соц. сети. Опустим фактор подмены понятий добровольно привязать номер мобильного телефона для защиты аккаунта и принудительно требовать его с той же целью. Сосредоточимся на том, насколько защищены эти данные от посторонних…


Нам обещают, что ни о чем не стоит беспокоится! Но на самом деле, достаточно кому-то знать ваш "сакральный адрес электронной почты" и первые семь цифр мобильного телефона кому-то уже стали известны.



Где вы еще оставляли свой номер телефона? Может быть в сервисах Google? Тогда кто-то неизвестный завладел уже и последними двумя цифрами вашего номера, который вы вовсе не собиралась разглашать всем кому не попадя.


Вернее, плюс двумя цифрами к первым семи, что позволяет методом простого перебора (всего 100 возможных вариантов) идентифицировать его владельца с использованием простейших социотехник.

Ваш телефон также указан в социальной сети Facebook для повышения безопасности аккаунта?



Facebook, при восстановлении пароля в чуть более простых условиях (необязательно знать email), сообщит желающему последние четыре цифры вашего номера телефона. Таким образом "повышенная безопасность" при восстановлении паролей с использованием SMS-сообщений в Facebook и в большей степени ВКонтакте позволяет полностью идентифицировать ваш номер мобильного телефона.

Разумеется, кто-то возразит, что пользователи социальных сетей самостоятельно публикуют свои номера мобильных телефонов. Бесспорно. Но далеко не все! Точно также, многие не публикуют и другую информацию о себе "для всех". Хотя конечно развивать данную мысль бессмысленно т.к. она будет сведена к бесконечной демагогии.

Суть данной публикации в другом. Суть в том, чтобы показать, как при разных подходах к обеспечению безопасности приватных данных человека (на примере восстановления паролей) становится возможным по крупицам собирать информацию о нем. И речь не идет лишь о номере мобильного телефона.

26 комментариев :

  1. Позволю напомнить в тему: о последствиях неконсистентности политик восстановления доступа к учетной записи одного и того же пользователя на различных сервисах - http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/

    ОтветитьУдалить
  2. Можно затронуть так же "пробив" пользователя по номеру телефона (идентификация телефона). Facebook с радостью сообщит имя и фамилию. Более популярный в России vk.com - легко пробивается с помощью терминала qiwi (получить голоса вконтакте), где вводишь телефон, имя, фамилия и id будут указаны на следующем шаге.

    ОтветитьУдалить
  3. Банки со своими "удобными" сервисами могут подсказать злоумышленнику еще несколько цифр от банковского счета привязанного к данному номеру :-)

    ОтветитьУдалить
  4. to Bo0oM:

    qiwi по дороге не попался, но на сколько я понимаю альтернативный вектор идентичен озвученному

    to Анонимный:

    proof? :)

    ОтветитьУдалить
  5. У меня специально созданные емейлы для социальных сетей. Их узнать сложно, например.

    ОтветитьУдалить
  6. Михаил, обратите внимание, что у fb, например, чтобы инициировать процесс восстановления пароля не требуется знаний об адресе электронной почты. И такой алгоритм практикуется не только у fb...

    ОтветитьУдалить
  7. Поставить приложение на телефон с другим своим номером http://freeje.com/

    ОтветитьУдалить
  8. Серьезная дыра в безопасности Фейсбука и Вконтакте.

    ОтветитьУдалить
  9. Подобными дырами уже давно пользуются сервисы такие как findmobil.info и др.

    ОтветитьУдалить
  10. Мммда ,плохо что не все понимают что соц.сети это зло =( ,я соцсети использую только для торговли и рекламы.

    ОтветитьУдалить
  11. Ещё одно подтверждение их мнимой и псевдо безопасности!

    ОтветитьУдалить
  12. Только что проверил - Вконтакте показывает первые 3 и последние 2 цифры номера!

    ОтветитьУдалить
  13. а что все прячут свои мобильные номера? кому так нужен ваш номер? неужели тот, кто знает вашу почту, и кому так нужен ваш номер не найдет способа узнать его?

    ОтветитьУдалить
  14. Axel, вопрос в том насколько просто он сможет это сделать - тут справится даже школьник.

    ОтветитьУдалить
  15. Раньше государство тратило миллионы чтобы узнать о человеке какую-либо информацию,теперь достаточно найти его в соц.сетях)))

    ОтветитьУдалить
  16. ВК просто показывает две последние цифры номера. В чем проблема?

    ОтветитьУдалить
  17. Может собрать список сайтов, где можно получить часть номера? На mail.ru например всё, кроме последних 4 цифр, одноклассники не показывают ничего.

    ОтветитьУдалить
  18. Да в большинстве случаев это так номера телок узнать, да лошков всяких ))

    Лично мне все ровно на то, что кто-то узнает мой номер телефона, пусть звонит! Поговорим! Конечно, я его в контакте в открытую не публикую! Мало-ли, что бы не попасть во всякие спам базы! Но все ровно!

    Банки банками, но какова вероятность, что кто-найдет именно Ваш банк? Если под Вас конкретно капать не будут! А если будут капать, то номер пробьют вне онлайна!

    Все! Стоп! Это уже бесконечной дискусией пахнет!

    ОтветитьУдалить
  19. Владислав, что у вас с русским языком?

    ОтветитьУдалить
  20. Объясните мне, что СТРАШНОГО произойдет, если узнают ваш номер. Кроме присылки спама, канеш.
    Для того, чтобы снять что-то со счета. пользуясь этим номером, не мешает сим-карту на руках иметь.

    ОтветитьУдалить
    Ответы
    1. Хи дубликат с мастер кары сделать как два пальца об асфальт, 3ная ваш номер.
      "что СТРАШНОГО", без последних штанов остаться, например ОнЛайн Покер ставки оплачивать, Кредит у сотового оператора оплачивать вам еще не СТРАШНО ))

      Удалить
  21. У меня через номер взломали страницу (сделали дубликат).

    Страницу возвращать Тех. Поддержка не хочет, потому-что говорят мол была добровольная передача страницы. Бред какой-то блин...(


    Зато теперь никак не узнать номер телефона привязанный к ВК странице... и вернуть таким же способом через дубликат симки...(

    ОтветитьУдалить
  22. Привет,

    Вам нужен удобный кредит для вашего удовлетворения? Мы предлагаем доступный кредит под 3% для местных и международных заемщиков. Мы сертифицированы, надежны, надежны, эффективны, быстры и динамичны, и мы работаем вместе. мы даем долгосрочный кредит на срок от 2 до 50 лет.

    Вам нужен прямой, простой и доступный кредит для оплаты долга, открытия бизнеса или по какой-либо другой причине? Если это так, пожалуйста, свяжитесь с нами с вашим запросом на кредит.

    Это предложение для серьезных людей.

    Пожалуйста, свяжитесь с нами, если вы заинтересованы, по электронной почте: easyloanfirm2020@gmail.com
    WhatsApp: +18582644849

    Мы сертифицированы,
    Надежный, надежный, эффективный, быстрый и динамичный.

    С уважением,
    Дерек Дуглас
    easyloanfirm2020@gmail.com



    3% Простое и доступное кредитное предложение

    ОтветитьУдалить
  23. Привет,

    Вам нужен удобный кредит для вашего удовлетворения? Мы предлагаем доступный кредит под 3% для местных и международных заемщиков. Мы сертифицированы, надежны, надежны, эффективны, быстры и динамичны, и мы работаем вместе. мы даем долгосрочный кредит на срок от 2 до 50 лет.

    Вам нужен прямой, простой и доступный кредит для оплаты долга, открытия бизнеса или по какой-либо другой причине? Если это так, пожалуйста, свяжитесь с нами с вашим запросом на кредит.

    Это предложение для серьезных людей.

    Пожалуйста, свяжитесь с нами, если вы заинтересованы, по электронной почте: easyloanfirm2020@gmail.com
    WhatsApp: +18582644849

    Мы сертифицированы,
    Надежный, надежный, эффективный, быстрый и динамичный.

    С уважением,
    Дерек Дуглас
    easyloanfirm2020@gmail.com



    3% Простое и доступное кредитное предложение

    ОтветитьУдалить