Из комментариев к предыдущему посту про восстановление паролей ВКонтакте мне стало известно, что крупнейший сервис бесплатной электронной почты Mail.RU содержит аналогичный недостаток по раскрытию номеров сотовых телефонов при восстановлении пароля к почтовым ящикам пользователей (разумеется в том случае, когда пользователь указал свой номер мобильного телефона). Простая проверка с регистрацией нового почтового ящика подтвердила комментарий b82a.
Более того, в отличии от устраненного уже недостатка ВКонтакте, связанного с раскрытием телефонов аналогичным образом, с сервиса Mail.RU можно выжать несколько больше. Так, например, становится возможным проверить корректность номера телефона в 4-е попытки с некоторой эпизодичностью (предположительно раз в сутки). То есть, использование метода социальной инженерии в данном случае вообще не требуется! Складываем первые семь цифр, полученные на MAIL.RU, с последними четырьмя цифрами, полученными при восстановлении пароля пользователя в социальной сети FB, после чего проверяем корректность номера через MAIL.RU. Profit!11
ЗЫ. вглядываясь в приходящие смс-ки заметил интересную особенность - для активации и деактивации номера телефона используются одни и те же цифры + маскирование адреса электронной почты выглядит как-то нелепо на общем фоне (см. ниже).
Более того, в отличии от устраненного уже недостатка ВКонтакте, связанного с раскрытием телефонов аналогичным образом, с сервиса Mail.RU можно выжать несколько больше. Так, например, становится возможным проверить корректность номера телефона в 4-е попытки с некоторой эпизодичностью (предположительно раз в сутки). То есть, использование метода социальной инженерии в данном случае вообще не требуется! Складываем первые семь цифр, полученные на MAIL.RU, с последними четырьмя цифрами, полученными при восстановлении пароля пользователя в социальной сети FB, после чего проверяем корректность номера через MAIL.RU. Profit!11
ЗЫ. вглядываясь в приходящие смс-ки заметил интересную особенность - для активации и деактивации номера телефона используются одни и те же цифры + маскирование адреса электронной почты выглядит как-то нелепо на общем фоне (см. ниже).
Немного больше:
ОтветитьУдалитьyahoo (он же flickr) - первых 5 цифр
hotmail - последние 2