Pull to refresh

Телефонный номер пользователя отечественных соцсетей

Reading time2 min
Views82K
Дмитрий Евтеев, ранее находивший ошибки в безопасности настроек индексирования сайта заказа железнодорожных билетов, не так давно продемонстрировал в своём блоге особенность в построении систем восстановления пароля, которая при совпадении нескольких условий позволяла узнать номер мобильного телефона любого пользователя, имеющего аккаунты в двух-трёх популярных сервисах социальных сетей. На данный момент уязвимость частично исправлена.

Некоторое время назад «В Контакте» требовал на добровольной основе (а по сути — принудительно заставил) своих пользователей зарегистрировать номер мобильного телефона для возможности в будущем быстро восстановить доступ к аккаунту. В некотором роде это также помогло решить проблему массовых спам-рассылок внутри сайта.

«В Контакте» обещает, что телефонный номер «нигде не выводится». Но это совсем не так, достаточно адреса электронной почты жертвы, и злоумышленник мог получить первые семь цифр номера.



Если у вас есть аккаунт «Гугла», то с адресом электронной почты можно будет узнать ещё и две последние цифры. Таким образом круг сужается до 100 номеров — количество, которое не так тяжело перебрать.



Если же пользователь также зарегистрирован в «Фейсбуке» (чего есть ненулевая вероятность) и злоумышленник обладает адресом электронного ящика, с которым ассоциирована учётная запись, то можно установить финальные последние четыре цифры телефонного номера.



Таким образом разный подход к подсказке последних цифр мобильного телефона, на который можно восстановить пароль аккаунта, мог привести к возможности пополнения спам-базы для СМС-рассылок или взлому в стиле ситуации Мэта Хонана.

Интересно, что кроме указанного Дмитрием «В Контакте» первые семь цифр показывали сервисы «Одноклассники» и «Мейл.ру». Пользуясь последним сайтом, получить данные особенно просто: адрес электронной почты можно установить по УРЛ «Моего Мира», а в диалоге восстановления пароля нет даже капчи.

На данный момент благодаря быстрой реакции техподдержек двух из трёх отечественных сайтов социальных сетей «В Контакте» показывает две последние цифры и код страны, а «Одноклассники» скрыл номер пользователя совсем. Из-за медлительности третьего некоторым пользователям придётся отвязать свой телефонный номер от аккаунта «Мейл.ру» или удалить его из аккаунта «Фейсбука».

Заинтересованным в безопасности собственных личных данных хочется в очередной раз посоветовать использовать для регистрации на сайтах отдельный ящик электронной почты с неочевидным именем.
Tags:
Hubs:
Total votes 126: ↑104 and ↓22+82
Comments57

Articles