Comments 210
Веселая штука, разве что капча замедлит парсинг и составление базы.
Поэтому я никогда ничего не регаю на свой мобильник. Спасают левые симки: http://forum.antichat.ru/forum150.html. Можно даже сказать человеку (активатору), чтобы оставил симку и не выбрасывал. Это конечно деньги, но активировать аккаунт это 10руб… Лучше чем принимать тонны спама или быть «под колпаком».
UFO just landed and posted this here
Можно подумать, всякие вконтакты знают IMEI…
Все находится у активатора. И симка, и телефон. Я ему пишу по аське, например — «прими смс». Он вставляет симку в телефон, ждет, посылает мне текст смски по той же аське.
UFO just landed and posted this here
А как он это узнает не имея того же имени пользователя\имейла?
UFO just landed and posted this here
Только что из раздела восстановления пароля ВК:
Восстановление доступа к странице
Пожалуйста, введите в целях безопасности Фамилию, указанную на Вашей странице.
Так что тут можно еще погадать.
Восстановление доступа к странице
Пожалуйста, введите в целях безопасности Фамилию, указанную на Вашей странице.
Так что тут можно еще погадать.
Все делается проще — покупаете виртуальный номер (лайфхак. некоторые зарубежные операторы предлагают триал на пару дней), ставите софтину-мессенджер на компьютер, принимаете СМС и забываете про номер. Вуаля, анонимный аккаунт готов)
А есть ссылка на триал?
давно это было все… Поищите в гугле сервисы запросом free uk virtual numbers — тут ВК тоже не промах: регистрируемся через прокси с выбором английского языка + не все виртуальные номера срабатывают — контакт тоже мониторит их списки
Жаль, тоже понадеялся на рабочий вариант. Была необходимость в аккаунте пару месяцев назад, достаточно долго шерстил всевозможные варианты виртуальных номеров, но так и не нашел рабочего.
Рабочий вариант-то по-любому есть — я тоже ОЧЕНЬ долго искал. Тогда повезло и наткнулся на итальянского провайдера. На тот момент помню умные люди советовали искать такие сервисы в Китае — контакт их хорошо переваривал. Было это, кстати, как раз пару месяцев назад
Да нет, я верю, что они есть, просто сейчас с этим туже, чем тогда, когда вы пробовали. Теперь дешевле и быстрее купить симкарту, как предлагается во втором комментарии, чем тратить часы на поиск и не найти, благо они дешевые.
не на правах рекламы — anveo.com предлагает виртуальные номера телефонов, многие из которых (в зависимости от страны) умеют принимать смс. сам пользуюсь этим сервисом уже 3 года, пока только пара отправленных смс не дошла до адресата.
VoxOx. Не триал, дают номер в США и доллар в подарок.
В таком случае нужен не виртуальный номер, так как на него послать смс можно только с реального номера. А нужен хостинг сим карты, многие сервисы сейчас такое предоставляют. Стоит в среднем от 1500 до 2500 в месяц такая услуга.(На хостинге естественно будет сим карта купленная сервисом и не имеющая к вам никакого отношения.)
У активаторов очень много клиентов с подобными просьбами, им просто ненужно это. И портить себе репутацию — себе дороже ) Но, конечно, я скорее смотрю на это со своей точки зрения, так как не использую контакт так, как положено, для меня это скорее какая-то полуделовая переписка / музыка / видео. То есть, конечно, если бы я хотел там постить свои фотки, признаваться кому-то в любви или что-то в этом роде, то я, безусловно, не доверил бы кому то номер телефона. Я бы просто купил у барыг пару десятков левых симок и регнул сам на левые номера.
Или, можно пользоваться сервисами активаций. Например sms-area.org или sms-reg.org. Найти левый номер уже давно не проблема.
Поправлю sms-reg.COM — проверено годами. Пользуюсь, советую так как очень большой выбор номеров и постоянное наличие.
Как-то у вас сложно все.
2 строчки на PHP, шаровый хостинг и www.nexmo.com справляются с задачей на ура.
2 строчки на PHP, шаровый хостинг и www.nexmo.com справляются с задачей на ура.
Если симкой долго не пользоваться, она перестает действовать. И что делать, если для какой-то операции надо будет ввести код, который приходит в смс на номер, которого уже нет? :)
UFO just landed and posted this here
Если писать многопоточный парсер, то ничего не замедлит.
Кстати, и по деньгам выйдет не так много. Вон, сервисы антикапч уже снижают цены — на pixodrom.com написано, что у них 0.7$ за 1000 капч.
А если учесть, что капча вылезает не каждый раз, то выходит совсем недорого за ту же тысячу спарсенных номеров
Кстати, и по деньгам выйдет не так много. Вон, сервисы антикапч уже снижают цены — на pixodrom.com написано, что у них 0.7$ за 1000 капч.
А если учесть, что капча вылезает не каждый раз, то выходит совсем недорого за ту же тысячу спарсенных номеров
Как это не замедлит? Капча очень даже замедлит. Антигейт / прокси — все это будет очень тормозить процесс даже если писать многопоток на мультикурле.
Ну, хорошо, немного замедлит. Но.
Распознавание капчи на пиксодроме пусть будет 6 сек в среднем (для простоты), тогда будет 10 капч в минуту.
Ставим 100 потоков, и за 1 минуту получаем 100*10 = 1000 проверенных профилей. По-моему, вполне неплохо.
Ну, это грубо, но смысл я думаю ясен.
Увеличение проверок будет прямо пропорционально количеству потоков и мало зависит от капч. Тут больше зависимость от скорости прокси.
Распознавание капчи на пиксодроме пусть будет 6 сек в среднем (для простоты), тогда будет 10 капч в минуту.
Ставим 100 потоков, и за 1 минуту получаем 100*10 = 1000 проверенных профилей. По-моему, вполне неплохо.
Ну, это грубо, но смысл я думаю ясен.
Увеличение проверок будет прямо пропорционально количеству потоков и мало зависит от капч. Тут больше зависимость от скорости прокси.
Скажу по секрету, что капча появлялась после 4-5 попытки получения данных, поэтому достаточно было всего лишь работать через прокси. Прогнал just for lulz по базе одного оператора — неплохая статистика определения. Далее тупо поиск по имени и городу и сравнение аватарки — утечка, однако! Неслабая утечка, хотя и не такая уж опасная)
Не замедлит ничуть, если писать не «многопоток», а нормальный асинхронный код. Сервисы антикапч позволяют хоть весь миллион капч поставить на распознавание одновременно — а людей там работает много, параллелизм хороший получится.
Простите, а в чем разница многопотока и асинхронной работы?
В накладных расходах. При создании нескольких потоков у нас будет слишком много context switch'ев, + на каждый поток системой выделяется порядка 4 мегабайт на стек.
В итоге асинхронная реализация в 1 потоке имеет все шансы (и на практике так и происходит) работать быстрее, чем тупая реализация, в которой каждый поток посылает запрос, затем ждет ответа.
В итоге асинхронная реализация в 1 потоке имеет все шансы (и на практике так и происходит) работать быстрее, чем тупая реализация, в которой каждый поток посылает запрос, затем ждет ответа.
Ну в данном случае вы затрагиваете тему именно ресурсов. Там эти различия во времени не являются значительными, так как среднестатистический впс парсит 1к страниц за 2-5 секунд на мультикурле. Наверное можно даже это дело как-то разогнать на 0.5-2 секунды, но это не такая большая разница во времени, как постоянная нужда ломать капчу или менять проксики. Там 6-10 секунд вполне обычное дело.
на этом сайте можно найти страницу по аватарке
Почему сюда написали, а не представителям ВК?
Краудсорсинг…
Я удивлен, что на хабре еще нет этой новости, так как все твиттеры и развлекательные порталы забиты обсуждением этой дыры. Скорее всего представители ВК уже в курсе.
Ну, например, потому что куда хочет — туда и пишет? Правило «сначала написать администрации» придумали людишки, которые, как правило, ни одной проблемы связанной с безопасностью в своей жизни не нашли, и зарепортить её не пытались (скажем так, это не всегда так просто, как кажется). Более того, если вы придумали себе какие-то странные правила — это не значит, что другие люди тоже руководствуются этими правилами.
В Facebook абсолютно такое же поведение и без мобильной версии сайта… Ещё и показывает часть email
Определить личность можно не только по номеру телефона, но и по email.
Разве это можно назвать утечкой ПД? ФИО вконтактике, это не 100% имя по паспорту. А аватар вообще ничего не говорит. Юридически контакт дает возможность сопоставить ник и аватар из своей базы, которые не являются ПД, по предоставлению ПД — телефона или емейла.
В суд может с этим не пойдешь, но сопоставление номера телефона и учетной записи пользователя ничем иным, как утечкой персональных данных не является. Номер телефона является закрытой информацией для служебных нужд и удобства самого пользователя, возможность неавторизованного сопоставления закрытой и открытой информации и есть утечка.
Аватар и ник, насколько мне известно, данные не скрываемые никакой настройкой контакта. Т.е. они всегда доступны.
Номер телефона вам не выводит контакт, вы его знаете сами, заранее.
А на выходе получаете и так доступные данные пользователя.
Тут вопрос относительно того, как это квалифицировать очень глубокий и я бы всё же это пока утечкой не называл. :)
Номер телефона вам не выводит контакт, вы его знаете сами, заранее.
А на выходе получаете и так доступные данные пользователя.
Тут вопрос относительно того, как это квалифицировать очень глубокий и я бы всё же это пока утечкой не называл. :)
Попробую перефразировать. Введя номер телефона 123-45-67, ВКонтакте ответит нам:
Т.е. такого телефона нет и нужно искать дальше. Как только находим валидный номер телефона, мы получаем это:
В зависимости от ширины канала и кривизны кода, через n-времени мы получаем наиболее полную и правильную базу телефонных номеров, которую можно использовать в своих не интересных целях.
Если это не является утечкой данных, то тогда чем? С таким же успехом, на Красной площади можно написать «СМС слать сюда»
Пользователь не найден.
Пожалуйста, убедитесь, что Вы правильно ввели телефон, email или логин.
Если Вы не помните никаких данных, Вы можете нажать сюда
Т.е. такого телефона нет и нужно искать дальше. Как только находим валидный номер телефона, мы получаем это:
Аватар | ФИО
Если это не Вы, нажмите здесь »
Для восстановления доступа к странице мы вышлем код на номер +7 123 456 78 90.
В зависимости от ширины канала и кривизны кода, через n-времени мы получаем наиболее полную и правильную базу телефонных номеров, которую можно использовать в своих не интересных целях.
Если это не является утечкой данных, то тогда чем? С таким же успехом, на Красной площади можно написать «СМС слать сюда»
Персона́льные да́нные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу;.
Но как бы да, теоретически Контакт не является достоверным источником. Фактически же это действительно чувствительные данные.
Есть еще другая сторона. Спарсив базу по всем комбинациям телефонных номеров можно узнать, например, телефон Павла Дурова или Саши Грей.
Согласно пунктам 4.3, 4.4, 5.1 правил пользования Вконтакте, пользователь соцсети обязан предоставлять при регистрации достоверные и актуальные данные, в числе которых, в том числе — фамилия и имя. Также в правилах прямо указывается, что пользователь обязан поддерживать эти данные в актуальном, достоверном состоянии.
Отвечу, как среднестатистический пользователь вконтакта: «И чо?»
И то, что это даёт ответ на вопрос:
Ответ: да, можно.
Разве это можно назвать утечкой ПД?
Ответ: да, можно.
«В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные». Наверняка в соглашении есть пункт с таким согласием.
В рамках 152-ФЗ требуется письменное согласие, а не галочка в интернете.
Вконтакте ссылается на пункт 5 части 1 статьи 6 ФЗ № 152, в соответствии с которым согласие субъекта персональных данных на обработку его персональных данных не требуется:
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
Наверняка в соглашении есть пункт с таким согласием.
Я же выше вам дал ссылку на полный текст — лень почитать? Нет там такого пункта. И даже наоборот, есть противоположный по смыслу пункт 4.8:
Администрация Сайта принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения. Администрация предоставляет доступ к персональным данным Пользователя только тем работникам, подрядчикам и агентам Администрации, которым эта информация необходима для обеспечения функционирования Сайта и предоставления Услуг Пользователю. … Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях
Правила контакта — это ничто и юридически и по факту.
Да, имея емейл и/или телефон, можно пополнить базу спам-знаний очень неплохо. И это действительно плохая особенность данной фичи контакта.
Но это не утечка персональных данных, не надо дезинформировать людей. Персональным данным дана ясная трактовка в законе. Выше я достаточно это обосновал.
Да, имея емейл и/или телефон, можно пополнить базу спам-знаний очень неплохо. И это действительно плохая особенность данной фичи контакта.
Но это не утечка персональных данных, не надо дезинформировать людей. Персональным данным дана ясная трактовка в законе. Выше я достаточно это обосновал.
Правила контакта — это ничто и юридически и по факту.
Совершенно неверно, это условия пользования сервисом, и опираясь на эти правила Вконтакте не раз выступал в судах (в частности по спорам насчёт пиратского контента), и суд эти правила принимал в качестве довода.
Персональным данным дана ясная трактовка в законе
Пункт 1, статьи 3 ФЗ № 152-ФЗ:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Имя и фамилия, а также номер телефона, которые Вконтакте требует при регистрации, причём требует достоверные и актуальные, а также обязывает пользователя поддерживать их в актуальном состоянии — это персональные данные, полностью соответствующие определению этого термина в законе.
Но это не утечка персональных данных, не надо дезинформировать людей
Извините, но это как раз вы дезинформируете людей. Это утечка ПД.
Выше я достаточно это обосновал.
Нет.
отпарсить самую большую базу телефонных номеров России и СНГ
Добавить сюда имя человека в СП и полетят Смсочки:
Люся, любимая, это Вася, я попал в беду, скинь сотку на этот номер, потом объясню!
Какой желтый заголовок. Это не дыра.
Автор, спасибо!
С помощью этого способа я узнал, что за козел мне звонил в новогоднюю ночь, оскорблял и настроение испортил!
Спасибо! Добра тебе!
С помощью этого способа я узнал, что за козел мне звонил в новогоднюю ночь, оскорблял и настроение испортил!
Спасибо! Добра тебе!
Твоюж мать, можно подумать мне смс спама мало.
Пашка, доколе?
Пашка, доколе?
Причем тут смс-спам?
При том, что SMS-спам также использует номера мобильных телефонов.
Дык вот мало того, что базу данных с номерами мобильных телефонов можно использоватьдля SMS-спама, так теперь для неё ещё и вот эдакое употребление нашлось — данные участников социальной сети ВКонтакте собирать.
Дык вот мало того, что базу данных с номерами мобильных телефонов можно использовать
Вы же понимаете, что для того, что бы использовать «дыру» в данном контексте — надо знать номер телефона?
Это равносильно рассылке спама используя номерную емкость с сайта россвязи.
А вот то, что данные можно получить по номеру — плохо. Но смс-спам тут не причем, как мне показалось. Дыра не является «катализатором» с началу спама. Вот о чем я написал.
Это равносильно рассылке спама используя номерную емкость с сайта россвязи.
А вот то, что данные можно получить по номеру — плохо. Но смс-спам тут не причем, как мне показалось. Дыра не является «катализатором» с началу спама. Вот о чем я написал.
ВК не выдаёт ссылку на профиль страницы, но Гугл поиск по картинке (аватарке) быстро решает эту проблему.
Если пользоваться массово, то есть шанс что гугл забанит за слишком большое число запросов.
Маленькая подсказка: в URL фотографии указан id пользователя VK.
Не всегда, если ссылка вида
cs404321.userapi.com/v4073231522/3ea/4shkSN93SR0.jpg
то
407323 — рандом
522- последние цифры ID
3ea — рандом
cs404321.userapi.com/v4073231522/3ea/4shkSN93SR0.jpg
то
407323 — рандом
522- последние цифры ID
3ea — рандом
407323 — очень похоже номер из имени поддомена, хотя оно иногда разное
cs421220.vk.me/v421220091/c8dd/vCh3mIjzEWA.jpg
cs421220.vk.me/v421220091/c8dd/vCh3mIjzEWA.jpg
UFO just landed and posted this here
С этой телефонной авторизацией вообще цирк. Вот, расскажу пока свежо (события разворачивались буквально вчера и сегодня). Меня сегодня пол-дня нет-нет да и пробьет на хи-хи, как только вспомню :)
Был у меня день рождения, поздравления валились со всех сторон, одно из них пришло ВКонтакте (в который я последний раз логинился уже и не помню когда, наверное как раз год назад, на прошлый ДР, а перед этим — на позапрошлый). Надо поблагодарить человека, кликаю — просит залогиниться (ага, у меня даже куков с того времени не сохранилось). Ввожу пароль — не то, ввожу другой — не то. В общем, забыл пароль. Ладно, думаю, фигня вопрос, как раз для таких случаев умные люди придумали процедуру восстановления по e-mail… Но умные люди и представить не могли, как такую процедуру могли извратить разработчики ВК. Телефона, который был когда-то введен (опять же, в добровольно-принудительном порядке) у меня давно нет — это был рабочий с прошлой работы. И понеслось…
1. Есть форма на случай отсутствия доступа к телефону. Старый телефон, новый телефон, старый email (щито?), новый email (щито?), страна регистрации, город регистрации, год регистрации (кто-нибудь помнит?), фото документа (!), фото на фоне страницы восстановления (!!). К этому моменту я уже слегка прифигел, но хрен с вами — очень уж хочется поблагодарить человека за поздравление (и человек хороший, и не пересекались давно). Заполняю, замазываю лишнюю информацию на паспорте, оставляю только имя и фото, отправляю.
2. ВК присылает запрос, что им не нравится скан паспорта, а нужно сфотографировать немного сбоку, держа в руке. Я уже конкретно офигеваю, но все еще хочу поблагодарить человека… Фотографирую, снова замазываю все номера и прочую информацию кроме имени и фотографии, отправляю. В качестве комментариев отправляю старый анекдот про перчатки и унитаз. Через полчаса мне приходи в голову идея, какой у меня мог быть пароль, пробую… и он оказывается верным! Отлично, логинюсь и благодарю человека. Подумываю об удалении страницы — нафиг она мне вообще?
3. ВК присылает запрос, что им теперь не нравится мое фото на фоне страницы восстановления — недостаточно четкое, видите ли… Тут я окончательно теряю терпение. Пишу ВСЕ, что я думаю об их сервисе, и вместо нового фото присылаю фото «фака» крупным планом. Удаляю свою страницу нафиг (давно уже хотел, да все повода не было, а тут как раз подвернулся).
4. Через 2 минуты ВК присылает сообщение, что мой запрос на восстановление пароля одобрен. И вот тут меня пробивает на ржач :))) Для интересующихся — вот скан сообщения, которое я им отправил в ответ на второй запрос, и после которого они одобрили восстановление пароля. Извиняюсь за некоторое количество нецензурных слов, но, как я сказал выше, я высказал ВСЕ, что думаю об их сервисе (кликабельно):
Похоже, «фак» — это магический вконтактовский жест, дающий доступ к секретным уровням…
Был у меня день рождения, поздравления валились со всех сторон, одно из них пришло ВКонтакте (в который я последний раз логинился уже и не помню когда, наверное как раз год назад, на прошлый ДР, а перед этим — на позапрошлый). Надо поблагодарить человека, кликаю — просит залогиниться (ага, у меня даже куков с того времени не сохранилось). Ввожу пароль — не то, ввожу другой — не то. В общем, забыл пароль. Ладно, думаю, фигня вопрос, как раз для таких случаев умные люди придумали процедуру восстановления по e-mail… Но умные люди и представить не могли, как такую процедуру могли извратить разработчики ВК. Телефона, который был когда-то введен (опять же, в добровольно-принудительном порядке) у меня давно нет — это был рабочий с прошлой работы. И понеслось…
1. Есть форма на случай отсутствия доступа к телефону. Старый телефон, новый телефон, старый email (щито?), новый email (щито?), страна регистрации, город регистрации, год регистрации (кто-нибудь помнит?), фото документа (!), фото на фоне страницы восстановления (!!). К этому моменту я уже слегка прифигел, но хрен с вами — очень уж хочется поблагодарить человека за поздравление (и человек хороший, и не пересекались давно). Заполняю, замазываю лишнюю информацию на паспорте, оставляю только имя и фото, отправляю.
2. ВК присылает запрос, что им не нравится скан паспорта, а нужно сфотографировать немного сбоку, держа в руке. Я уже конкретно офигеваю, но все еще хочу поблагодарить человека… Фотографирую, снова замазываю все номера и прочую информацию кроме имени и фотографии, отправляю. В качестве комментариев отправляю старый анекдот про перчатки и унитаз. Через полчаса мне приходи в голову идея, какой у меня мог быть пароль, пробую… и он оказывается верным! Отлично, логинюсь и благодарю человека. Подумываю об удалении страницы — нафиг она мне вообще?
3. ВК присылает запрос, что им теперь не нравится мое фото на фоне страницы восстановления — недостаточно четкое, видите ли… Тут я окончательно теряю терпение. Пишу ВСЕ, что я думаю об их сервисе, и вместо нового фото присылаю фото «фака» крупным планом. Удаляю свою страницу нафиг (давно уже хотел, да все повода не было, а тут как раз подвернулся).
4. Через 2 минуты ВК присылает сообщение, что мой запрос на восстановление пароля одобрен. И вот тут меня пробивает на ржач :))) Для интересующихся — вот скан сообщения, которое я им отправил в ответ на второй запрос, и после которого они одобрили восстановление пароля. Извиняюсь за некоторое количество нецензурных слов, но, как я сказал выше, я высказал ВСЕ, что думаю об их сервисе (кликабельно):
Похоже, «фак» — это магический вконтактовский жест, дающий доступ к секретным уровням…
Было бы куда забавнее если бы наоборот.
Аля, вводим ID вконтакта, получаем номер телефона и Дмитрий Анатольевич сразу напрягся.
Аля, вводим ID вконтакта, получаем номер телефона и Дмитрий Анатольевич сразу напрягся.
Честно, я не в курсе, потому вопрос — кроме как для первичной регистрации (или привязке, если аккаунт уже существовал на тот момент) и восстановления пароля, номер телефона где-нибудь еще используется? В том плане, что бы воспользоваться «одноразовым» номером/симкартой.
Для создания приложений и проверки, что это действительно вы зашли с Германии, когда минуту назад были в России
Можно настроить оповещения о сообщениях по СМС.
>В том плане, что бы воспользоваться «одноразовым» номером/симкартой.
Потом замучитесь менять номер, когда он (не дай Б-г) вам вдруг понадобится для восстановления пароля
Потом замучитесь менять номер, когда он (не дай Б-г) вам вдруг понадобится для восстановления пароля
UFO just landed and posted this here
UFO just landed and posted this here
Уже вроде пофиксили. Теперь после ввода телефона требуют еще и фамилию.
Какой хай был когда утекали БД ОПСОСов и как в полном объеме БД утекать перестали? Сколько лет назад это было?
UFO just landed and posted this here
Ну это сложнее:
1) пользователь должен установить приложение
2) вы должны прогнать всю базу номеров
3) получите только его друзей.
А тут один номер, почти один контакт.
1) пользователь должен установить приложение
2) вы должны прогнать всю базу номеров
3) получите только его друзей.
А тут один номер, почти один контакт.
Кто мешает пользуясь API загрузить список сгенерированных по правилам номеров любой длины, а полученный вывод оформить в удобную табличку?
Если я правильно понял, вам надо:
1) Сделать приложение с большим охватом
2) для каждого пользователя пробить весь список номеров за исключением, быть может, всех уже найденых.
3) Если у пользователя нет друга установившего ваше приложение вы его номер не получите.
1) Сделать приложение с большим охватом
2) для каждого пользователя пробить весь список номеров за исключением, быть может, всех уже найденых.
3) Если у пользователя нет друга установившего ваше приложение вы его номер не получите.
Нет, надо просто скормить список номеров, пользователей он вам вернет сам. Там же написано, что апи запрашивает только один параметр телефонной книги — номер, наивно предполагая, что это и правда человек из вашего списка контактов.
Прекрасно, спалил левый аккаунт подруги.
Пробил номер, с которого мне угрожали. Забавно-с. :)
Нашел несколько неопозннанных контактов. Полезная фича!
Представляю сколько анонимных признаний в любви сейчас раскроется =)
Похоже, уже пофикшено. Если поискать подряд несколько номеров, то помимо капчи начинает спрашивать фамилию человека, указанного в профиле, привязанном к данному номеру.
Конечно, это не спасает от точечного поиска, только от массового сбора данных.
Конечно, это не спасает от точечного поиска, только от массового сбора данных.
А где же остальные ИМХО самые главные пункты 5 и 6 в инструкции? :)
5. ???????
6. PROFIT
5. ???????
6. PROFIT
UFO just landed and posted this here
Похоже больше не получаем имя, только маленькую аватарку в 40 пикселей.
>>Дыра
Автор, вы чего? Держите скриншот восстановления аккаунта гугла
Автор, вы чего? Держите скриншот восстановления аккаунта гугла
Это где такое? Захожу сюда, при выборе «I don't know my username» и вводе номера телефона предлагают отправить на него сообщение.
В Facebook выдает имя пользователя по телефону.
www.facebook.com/recover/initiate
Учитывая, что в VK ник уже не показывает, получил имя из FB и авку из VK.
www.facebook.com/recover/initiate
Учитывая, что в VK ник уже не показывает, получил имя из FB и авку из VK.
Кстати, указанный выше поиск по картинке через поиск Google помогает найти человека и после включения новой защиты, если у него оригинальная аватарка.
А одного человека не смог найти, т.к. у него на аватарке стояло растиражированное фото Мерседеса. Т.ч. защита от поиска — ставьте аватарки Чебурашки и т.п. на VK.
А одного человека не смог найти, т.к. у него на аватарке стояло растиражированное фото Мерседеса. Т.ч. защита от поиска — ставьте аватарки Чебурашки и т.п. на VK.
Как выше упоминали, в пути к аватарке есть 3 последние цифры ID пользователя, то есть сначала вы сужаете поиск до аватарки, а потом отбираете того пользователя, у которого последние 3 цифры совпадают с цифрами в пути выданной основным методом автарки.
Сейчас проверил — нет такого совпадения. Может уже поменяли и тут что-то. Явно кто-то с VK в теме сидит.
Уважаемые хабровчане, мне кажется или пост ведет себя аномально? Периодически то исчезая, то появляясь в топе. Это особенности системы скоринга, мой локальный глюк или происки ЗОГ?
Наверно стоит радоваться что он есть вообще. Вчера видел отличный наброс на Билайн, который живо исчез.
Я аналогичное наблюдаю уже с месяц, если не больше. Когда некоторые посты просто исчезают из ленты при обновлении страницы. Через некоторое время обновишь — они тут как тут.
В поддержку писал, но не помогло. Это глюк Хабра, а не ваш локальный.
В поддержку писал, но не помогло. Это глюк Хабра, а не ваш локальный.
У Фэйсбука была похожая уязвимость.
Интересно, все-таки кто-нибудь скачать всю базу успел (и молчит) или нет?
www.businessinfo.ru/ — может у этих за деньги появится.
теперь только аватарку показывает, спалили фичу.
Вот вам ещё «уязвимость» в копилку — скрытый возраст пользователя можно узнать, поиграв с диапазоном возраста в поиске. Скорее всего так же и некоторые другие поля можно узнать.
Нашёл аккаунт бывшей. Узнал ответ на главный вопрос: ушла ли она тогда налево. Ну и зачем я это сделал?
Вот вам еще один лайфхак: Добавляем жертву в список контактов. Заходим в WhatsApp и/или Viber. Если человек пользуется этими месенджерами (а армия таких пользователей растет стремительно), то мы можем запросто увидеть фотку человека в неплохом разрешении, а иногда и даже узнать имя.
а разве ты не должен быть добавлен в контакты у этого человека?
Добавляем в телефонную книгу — а то «список контактов» не совсем понятно, о чем речь.
Телефонная книга что в Android, что в iOS зовется именно Контакты. Те, у кого стоит WhatsApp или Viber знают, что эти мессенджеры не имеют собственного списка контактов и используют системный. Последовательность действий «добавляем в список контактов -> заходим в whatsapp/viber» явно подразумевает, что мы не запускаем мессенджеры для каких-то манипуляций с контактами, а предварительно добавляем номер телефона в какой-то посторонний список, очевидно, что это системный список контактов.
Так как пост об VK, и там есть контакты, я первым делом подумал, что надо добавить человека там, хотя у меня стоит Viber и я знаю как он работает. Да и вопрос rdntw, мне показалось, того же рода.
мне любопытно, пока все обсуждают что с этим делать, кто-нибудь уже отпарсил? :)
Имя и фамилия уже не отображаются, только аватарка.
Если спарсить такую базу даже в виде «номер и фотография», без имени, то можно уже неплохо повышать конверсии при регистрации в проектах, связанных с мобильной авторизацией/регистрацией.
Представьте себе: регистрируетесь в сервисе, а он сам за вас уже заполнил все поля, не спрашивая ни социальных сетей, ничего кроме номера. Вопросы конечно возникнут в голове (и то не у всех), но все равно приятно :)
Представьте себе: регистрируетесь в сервисе, а он сам за вас уже заполнил все поля, не спрашивая ни социальных сетей, ничего кроме номера. Вопросы конечно возникнут в голове (и то не у всех), но все равно приятно :)
Говорят что этой «дыре» уже почти год. Просто сегодня она получила широкую огласку.
UFO just landed and posted this here
А я нашел кто мне слал СМС вида «Андрюша, я люблю тебя, Ксюшенька» в 2004 году. Оказался чувак знакомый :-)
Номер ждал своего звездного часа 10 лет в текстовом файлике.
Номер ждал своего звездного часа 10 лет в текстовом файлике.
О времена, о нравы...)
А я не нашел владельца незнакомого мне номера, полгода назад назвавшего меня проказником в смс и предлагавшего «поиграть».
Я сначала плюсанул, а потом у меня возник вопрос. А оно тебе нужно было? Доволен? Ещё вчера у тебя было приятное воспоминание о тайной поклоннице, а сегодня…
Сработает, если у чувака давно этот номер. Иначе может иметь место ротация устаревших номеров :-)
Интересно хоть кто-то нашел таким способом своих пропавших родственников, маму, папу и т.д.
Был бы красивый PR-ход от ВК представлением такого случая — типа: дыра, да, но так сын нашел свою маму…
(и музыка из м/ф «Про мамонтенка»)
Был бы красивый PR-ход от ВК представлением такого случая — типа: дыра, да, но так сын нашел свою маму…
(и музыка из м/ф «Про мамонтенка»)
Сначала думал, что информация то не особо критичная. Номера телефонов можно найти и в других источниках. Но если подумать. Имеем номер телефона, соответствующий пользователю вконтактика. По телефонному справочнику находим ФИО и адрес прописки. А дальше, смотря какие базы сможем найти в пиринговых сетях города, где наш пользователь живет. Скорее всего найдем паспортные данные нашего пользователя, информацию о недвижимости, автомобиле, штрафах, возможно кредитную историю, судимости. Еще немного, и мы узнаем все о его родственниках.
Собственно проблема не в том, что можно получить привязку пользователя Вконтакте к номеру телефона, а в том что сеть полна уже утекших персональных данных и сопоставив их, получаем практически всех пользователей как на ладони. Не всех — только по тому, что имеющиеся в сети данные не первой свежести.
Собственно проблема не в том, что можно получить привязку пользователя Вконтакте к номеру телефона, а в том что сеть полна уже утекших персональных данных и сопоставив их, получаем практически всех пользователей как на ладони. Не всех — только по тому, что имеющиеся в сети данные не первой свежести.
Мне кажется, или уже всё пофиксили? Сейчас выдаётся только очень маленькая ава, что мало что даёт. Вот если бы id где-нибудь промелькнул…
Кг/ам
Это работает как минимум с лета, в API есть метод, чтобы узнать юзера по контактам, в facebook всегда так было и никто не пикнул
Это работает как минимум с лета, в API есть метод, чтобы узнать юзера по контактам, в facebook всегда так было и никто не пикнул
Базой — то поделитесь) Ведь слили уже, полюбому)
Что-то нефига не показывает данные — images.vfl.ru/ii/1389849766/43702bc0/3994332.jpg
Прочитал пост, нашёл свой метод.
Открываем m.vk.com, забыли пароль, вводим телефон. Имя не показывает, только фотку-аватарку.
Остальное работает если есть аватарка и посты в лентах/стенках.
Копируем URL картинки-аватарки и делаем поиск по картинкам в гугле. Гугл предлагает нужный профиль.
Так же вариант не работает, если вместо авы какая нибудь массовая картинка.
Открываем m.vk.com, забыли пароль, вводим телефон. Имя не показывает, только фотку-аватарку.
Остальное работает если есть аватарка и посты в лентах/стенках.
Копируем URL картинки-аватарки и делаем поиск по картинкам в гугле. Гугл предлагает нужный профиль.
Так же вариант не работает, если вместо авы какая нибудь массовая картинка.
не обязательно телефон
я так по адресу электронной почты людей искал
принцип тот же
1. Жмем «Забыли пароль?»
2. Вводим e-mail
3. Получаем имя и аватар
я так по адресу электронной почты людей искал
принцип тот же
1. Жмем «Забыли пароль?»
2. Вводим e-mail
3. Получаем имя и аватар
Пока вы тут болтаете — на том самом сайте уже предлагают за 1000 рублей купить базу на 5 млн. пользователей :)
Эх, жаль только для России.
А что за «тот самый сайт»? И, базу скачанную именно из ВКонтакте?
Наверное, речь про forum.antichat.ru
На самом деле всё еще проще, после получения аватара пользователя идём в Google Images www.google.de/imghp
И для многих пользователей получаем ссылку на профиль.
И для многих пользователей получаем ссылку на профиль.
засудить их надо за неполноценную охрану персональный данных. меня бесит, почему я не могу удалить свой аккаунт по запросу, я имею ввиду полностью удалить — все комментарии, все что есть и их базе данных. по закону я имею право это сделать, но по прпавилам контакта я должен отправить им свой паспорт. какого хрена я должен что-то отправлять? если поступил запрос с моего аккаунта, они должны все удалить. быдло
Дырку закрыли только в мобильной версии сайта, в официальном приложение для телефонов на Android все еще проще, добавляем интересующий нас номер в список контактов, заходим в приложение ВКонтакте и переходим в поиск друзей по списку контактов в телефоне. Вуаля.
Вчера тестировали, все работает на ура.
Вчера тестировали, все работает на ура.
Чтобы найти страницу ВКонтакте по номеру телефона, можно воспользоватся сервисом:
poisknomera.ru/vk_search.html
100% гарантия нахождения номера даже если страница удалена.
poisknomera.ru/vk_search.html
100% гарантия нахождения номера даже если страница удалена.
Люди, которых волнует состояние их персональных данных не пользуются социальными сетями. И сервисами где надо палить мобильник заодно.
на to4no.ru можно найти страницу в вк по аватарке
forum.antichat.ru/threads/422386 и тут можно по номеру телефона определить страницу вк
Было отпарсено достаточно много номеров из ВК и продолжаем парсить. На nomer.me можно заказать пробив номера телефона или найти страницу ВК по номеру и наоборот, по id определить номер телефона.
Sign up to leave a comment.
Дыра ВКонтакте, утечка персональных данных пользователей