Огрехи в системе безопасности ВК
Недавно мой аккаунт ВКонтакте с почти 7 летней историей был безвозвратно утерян. Поспешу ответить на вопросы друзей и просто любопытствующих: интерес мошенников был всего в мои нескольких публичных страницах, где число подписчиков было 50 и 18 тысяч человек. Да, аккаунт был привязан к номеру мобильного, но далее я опишу как легко безвозвратно увести аккаунт ВКонтакте любого человека, доступ к телефону которого вы имеете.
UPD для желающих что-то доказать
1. Я не пытаюсь восстановить свою страницу, как не крути, согласно довольно скользким правилам ВКонтакте http://vk.com/terms всю отвественность за сохранность своих паролей несет пользователь, т.е. я.
2. У меня нет никаких претензий, только вопросы к процедуре восстановления, а так же некоторым чисто техническим моментам (ниже все описано, стараюсь изложить все максимально детально).
И так, чтоб взломать страницу ВКонтакте не нужно быть хакером, даже не нужно прибегать к помощи каких-либо сторонних программ.
Стандартная процедура восстановления доступа предусматривает получение кода на привязанный к странице номер телефона. Но в случаи утери номера или попадание телефона в руки третьих лиц восстановить доступ к своей странице невозможно, не смотря на предусмотренную процедуру с загрузкой копии паспорта как раз для подобных случаев, которая, как оказалось, попросту не работает надлежащим способом.
При процедуре восстановления доступа, которая предусматривает загрузку, внимание! - скана паспорта и фотографии, сделанной на фоне страницы восстановления, вам приходит сообщение, что сначала заявка попадает на рассмотрение, а потом одобряется модератором. Очевидно, что модерация проходит только вручную (сверка ФИО и фотографий). Далее на телефон приходит смс с новым паролем, используя который, можно зайти на страницу, но только по истечению 24 часов. И тут наступает самый интересный момент: страница не блокируется и не замораживается на это время и очевидно, что логин и пароль не обновляются, и злоумышленники спокойно продолжают заходить на страничку. Это первый интересный момент.
В свою очередь я не вижу никаких действий администрации согласно пункту :(
В общем, товарищ Дуров передает всем привет!
UPD для желающих что-то доказать
1. Я не пытаюсь восстановить свою страницу, как не крути, согласно довольно скользким правилам ВКонтакте http://vk.com/terms всю отвественность за сохранность своих паролей несет пользователь, т.е. я.
2. У меня нет никаких претензий, только вопросы к процедуре восстановления, а так же некоторым чисто техническим моментам (ниже все описано, стараюсь изложить все максимально детально).
Стандартная процедура восстановления доступа предусматривает получение кода на привязанный к странице номер телефона. Но в случаи утери номера или попадание телефона в руки третьих лиц восстановить доступ к своей странице невозможно, не смотря на предусмотренную процедуру с загрузкой копии паспорта как раз для подобных случаев, которая, как оказалось, попросту не работает надлежащим способом.
При процедуре восстановления доступа, которая предусматривает загрузку, внимание! - скана паспорта и фотографии, сделанной на фоне страницы восстановления, вам приходит сообщение, что сначала заявка попадает на рассмотрение, а потом одобряется модератором. Очевидно, что модерация проходит только вручную (сверка ФИО и фотографий). Далее на телефон приходит смс с новым паролем, используя который, можно зайти на страницу, но только по истечению 24 часов. И тут наступает самый интересный момент: страница не блокируется и не замораживается на это время и очевидно, что логин и пароль не обновляются, и злоумышленники спокойно продолжают заходить на страничку. Это первый интересный момент.
Второй интересный момент заключается в том, что решение по восстановлению доступа принимает человек. В моем случаи, заявка сначала была одобрена, затем, буквально через час отклонена! Вот какой официальный ответ мне дали:
 |
| Картинка кликабельна |
Т.е. изучив мою страницу, сверив паспортные данные, фото с монитором, и фото моей страницы человек в техподдержке принял решение отказать мне в восстановлении страницы на основании двойного подтверждения с мобильного телефона.
Поддержка ВКонтакте многозначительно отмалчивается и в ответ пишет одно и то же:
Тут сам собой напрашивается вопрос к системе безопасности и к логике восстановления доступа: зачем просить паспортные данные и свежее фото? Выходит так: ты живой человек, с паспортом, прошел унизительную процедуру фотографирования на фоне экрана с отрытой страницей ВК, можешь дать всю информацию о свой странице начиная от года и места регистрации, заканчивая порядком пользователей в списке друзей, не можешь получить доступ к своей странице, если твой телефон украли или даже заморочились сделать дубликат сим-карты (мотивы взлома страницы могут быть самые разные).
Вырисовывается следующая картина, что без труда можно получить доступ к странице ВКонтакте человека из довольно близкого круга общения, главное иметь доступ к телефону. Учитывая, что многие пользователи ВКонтакте используют приложения или мобильную версию социальной сети, то не нужно даже заморачиваться, чтобы добыть логин и пароль - достаточно с этого же номера зайти ВКонтакт, сменить мейл, пароль и тут же подтвердить СМСкой смену данных. Грубо говоря, попросту можно под любым предлогом взять смартфон и за несколько минут провернуть эту нехитрую операцию.
Пока моя заявка была на рассмотрении, я видела, что кто-то продолжает быть онлайн с моей страницы, как я писала, пароли не обнулили. И если мошенники успели прописать свой номер телефона и e-mail, то они получают уведомление о попытке восстановления доступа к странице и в свою очередь выполнить инструкцию "Если это происходит без вашего ведома, срочно зайдите VK.com, чтобы отменить операцию", таким образом можно отменить операцию восстановления доступа к странице и вуаля! Вы потеряли страничку навсегда.
Поддержка ВКонтакте многозначительно отмалчивается и в ответ пишет одно и то же:
Тут сам собой напрашивается вопрос к системе безопасности и к логике восстановления доступа: зачем просить паспортные данные и свежее фото? Выходит так: ты живой человек, с паспортом, прошел унизительную процедуру фотографирования на фоне экрана с отрытой страницей ВК, можешь дать всю информацию о свой странице начиная от года и места регистрации, заканчивая порядком пользователей в списке друзей, не можешь получить доступ к своей странице, если твой телефон украли или даже заморочились сделать дубликат сим-карты (мотивы взлома страницы могут быть самые разные).
Вырисовывается следующая картина, что без труда можно получить доступ к странице ВКонтакте человека из довольно близкого круга общения, главное иметь доступ к телефону. Учитывая, что многие пользователи ВКонтакте используют приложения или мобильную версию социальной сети, то не нужно даже заморачиваться, чтобы добыть логин и пароль - достаточно с этого же номера зайти ВКонтакт, сменить мейл, пароль и тут же подтвердить СМСкой смену данных. Грубо говоря, попросту можно под любым предлогом взять смартфон и за несколько минут провернуть эту нехитрую операцию.
Разбор Дуровского режима
А теперь немного сухих выдержек из правил пользования ВКонтакте:
Идем по пунктам.
Третьи лица, которые получили доступ к моей странице нарушили правило
5.3.10 любым способом, в том числе, но не ограничиваясь, путем обмана, злоупотребления доверием, взлома, пытаться получить доступ к логину и паролю другого Пользователя
Я, подав заявку на восстановление доступа выполнила следующее правило:
5.1 "информировать Администрацию Сайта о несанкционированном доступе к персональной странице и/или о несанкционированном доступе и/или использовании пароля и логина Пользователя;
В свою очередь я не вижу никаких действий администрации согласно пункту :(
4.8 - Администрация Сайта принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтоженияВ техподдержке ясно дали понять, что восстановить страницу уже никак не выйдет по причине того, что было совершено двойное подтверждение с мобильного номера. Так же у моих просьб хотя бы заблокировать страницу тоже нет шансов. Будем считать, что вопрос конкретно с моей страницей исчерпан.
У меня много фейковых страниц Вконтакте, так что не страшно, если пару тройку взломают. Покупаю в магазине аккаунтов Вконтакте gidvk.com/
ОтветитьУдалить