Огрехи в системе безопасности ВК

Недавно мой аккаунт ВКонтакте с почти 7 летней историей был безвозвратно утерян. Поспешу ответить на вопросы друзей и просто любопытствующих: интерес мошенников был всего в мои нескольких публичных страницах, где число подписчиков было 50 и 18 тысяч человек. Да, аккаунт был привязан к номеру мобильного, но далее я опишу как легко безвозвратно увести аккаунт ВКонтакте любого человека, доступ к телефону которого вы имеете.

UPD для желающих что-то доказать
1. Я не пытаюсь восстановить свою страницу, как не крути, согласно довольно скользким правилам ВКонтакте http://vk.com/terms всю отвественность за сохранность своих паролей несет пользователь, т.е. я.
2. У меня нет никаких претензий, только вопросы к процедуре восстановления, а так же некоторым чисто техническим моментам (ниже все описано, стараюсь изложить все максимально детально).

И так, чтоб взломать страницу ВКонтакте не нужно быть хакером, даже не нужно прибегать к помощи каких-либо сторонних программ.

Стандартная процедура восстановления доступа предусматривает получение кода на привязанный к странице номер телефона. Но в случаи утери номера или попадание телефона в руки третьих лиц восстановить доступ к своей странице невозможно, не смотря на предусмотренную процедуру с загрузкой копии паспорта как раз для подобных случаев, которая, как оказалось, попросту не работает надлежащим способом.

При процедуре восстановления доступа, которая предусматривает загрузку, внимание! - скана паспорта и фотографии, сделанной на фоне страницы восстановления, вам приходит сообщение, что сначала заявка попадает на рассмотрение, а потом одобряется модератором. Очевидно, что модерация проходит только вручную (сверка ФИО и фотографий). Далее на телефон приходит смс с новым паролем, используя который, можно зайти на страницу, но только по истечению 24 часов. И тут наступает самый интересный момент: страница не блокируется и не замораживается на это время и очевидно, что логин и пароль не обновляются, и злоумышленники спокойно продолжают заходить на страничку. Это первый интересный момент.

Второй интересный момент заключается  в том, что решение по восстановлению доступа принимает человек. В моем случаи, заявка сначала была одобрена, затем, буквально через час отклонена! Вот какой официальный ответ мне дали:

Картинка кликабельна
Т.е. изучив мою страницу, сверив паспортные данные, фото с монитором, и фото моей страницы  человек в техподдержке принял решение отказать мне в восстановлении страницы на основании двойного подтверждения с мобильного телефона.

Пока моя заявка была на рассмотрении, я видела, что кто-то продолжает быть онлайн с моей страницы, как я писала, пароли не обнулили. И если мошенники успели прописать свой номер телефона и e-mail, то они получают уведомление о попытке восстановления доступа к странице и в свою очередь выполнить инструкцию "Если это происходит без вашего ведома, срочно зайдите VK.com, чтобы отменить операцию", таким образом можно отменить операцию восстановления доступа к странице и вуаля! Вы потеряли страничку навсегда.

Поддержка ВКонтакте многозначительно отмалчивается и в ответ пишет одно и то же:



Тут сам собой напрашивается вопрос к системе безопасности и к логике восстановления доступа: зачем просить паспортные данные и свежее фото? Выходит так: ты живой человек, с паспортом, прошел унизительную процедуру фотографирования на фоне экрана с отрытой страницей ВК, можешь дать всю информацию о свой странице начиная от года и места регистрации, заканчивая порядком пользователей в списке друзей, не можешь получить доступ к своей странице, если твой телефон украли или даже заморочились сделать дубликат сим-карты (мотивы взлома страницы могут быть самые разные).

Вырисовывается следующая картина, что без труда можно получить доступ к странице ВКонтакте человека из довольно близкого круга общения, главное иметь доступ к телефону. Учитывая, что многие пользователи ВКонтакте используют приложения или мобильную версию социальной сети, то не нужно даже заморачиваться, чтобы добыть логин и пароль - достаточно с этого же номера зайти ВКонтакт, сменить мейл, пароль и тут же подтвердить СМСкой смену данных. Грубо говоря, попросту можно под любым предлогом взять смартфон и за несколько минут провернуть эту нехитрую операцию.

Разбор Дуровского режима

А теперь немного сухих выдержек из правил пользования ВКонтакте:

Идем по пунктам.

Третьи лица, которые получили доступ к моей странице нарушили правило 
5.3.10 любым способом, в том числе, но не ограничиваясь, путем обмана, злоупотребления доверием, взлома, пытаться получить доступ к логину и паролю другого Пользователя

Я, подав заявку на восстановление доступа выполнила следующее правило:
5.1 "информировать Администрацию Сайта о несанкционированном доступе к персональной странице и/или о несанкционированном доступе и/или использовании пароля и логина Пользователя;

В свою очередь я не вижу никаких действий администрации согласно пункту :(
4.8 - Администрация Сайта принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения
В техподдержке ясно дали понять, что восстановить страницу уже никак не выйдет по причине того, что было совершено двойное подтверждение с мобильного номера. Так же у моих просьб хотя бы заблокировать страницу тоже нет шансов. Будем считать, что вопрос конкретно с моей страницей исчерпан.


В общем, товарищ Дуров передает всем привет!

Share this:

CONVERSATION

0 коммент.:

Отправить комментарий