VK Protect: реформа системы информационной безопасности и запуск обновлённой программы защиты данных пользователей

[nkretov]

VK? Безопастность? }{@бр ? Мне кажется вы ошиблись...

[kasiopei]

U2F будет?

[varagian]

Это вообще всегда иронично, когда рассказывают про невероятную защиту данных и просто игнорируют едва ли не самый безопасный метод для 2FA.

[Angeld]

зачем менять пароль раз в год?

он в базах в открытом виде и может утечь?

[ky0]

Чот наверное нет, Алишер Бурх… нет, стоп — кто там теперь? Киндервунд Сергеевич?

[FreakII]

Со встроенным товарищем майором, зорко следящим за безопасностью

[Kekushiftkey]

прямо вчера взломали близкого человека. один из вариантов: через авторизацию на https://pruffme.com/ с помощью вк id. Опишу что случилось:

1. взломщик шлет одинаковое сообщение всему списку друзей. действие нестандартное,

2. пока добираюсь до привязанного телефона прошу всех знакомых пометить аккаунт как "спам", срабатывает где-то через час.

3. К тому времени, когда добираюсь до телефона, аккаунт вк забанен. Восстанавливаю с помощью телефона.

4. В vk id вижу список устройств: их 6 штук. Взломщик явно использует какую-то автоматизацию, т.к. моей скорости пользователя явно не хватает. Жму "завершить все сессии кроме этой" и меня разлогинивает. В устройствах такие записи, как "Город, Chrome", т.е. такие же записи, как и мои. Похоже, что взломщик использует прокси и подмену user-agent.

5. Очень часто при переходе по ссылкам внутри vk id оказывается пустая страница.

6. Меняю браузер на FF, взломщик копирует и его user-agent. Подозреваю, что взломан мой роутер, комп. Меняю способ связи, меняю компьютер, взломщик меняет user-agent вслед за мной.

7. При нажатии кнопки "завершить все сессии браузера", меня разлогинивает и начинается эпопея восстановления доступа, с смсками и капчами.

8. Замечаю в дополнительных способах входа одноразовые коды. Похоже, что доступ взломщик восстанавливает через них. Удаление способа входа через одноразовые смс приводит к моему разблокированию. Предполагаю, что мне нужно одновременно нажать на удаление способов входа и завершить все сессии, но практически этого не получается сделать из-за белых пустых вкладок при переходе по ссылкам и частым разлогиниванием меня.

9. К этому времени исчерпан лимит смс и звонков для авторизации. Я разлогинен, взломщик орудует.

10. Удаление аккаунта vk id отрезает взломщику доступ к аккаунту, спасибо за эту возможность, работает хорошо. Предлагается использовать второй аккаунт вк для обращения в техподдержку, но такового нет.

11. Банк мошенника - QIWI 4890 4947 9285 2881. Номер карты в якобы фотографии банковской карты другого банка и с реальными имя-фамилия, лежащей на столе.

Также спасло от неприятных моментов (переводов денег) то, что многие люди заметили разницу в обращении, общении и сообщили владельцу о взломе, даже не отвечая взломщику. Вера в людей немного повысилась.

[Protos]

Удаление аккаунта k id

Так если на этапе выше завершились лимиты, как удалили, дождались истечения блокировки?

[Kekushiftkey]

Да. Сейчас аккаунт удален, но все еще скомпроментирован.

[innomaker]

Номер телефона никогда не являлся безопасным способом 2FA. Но даже с возможностью подключения 2FA с генерацией кодов(Google, Authy) вк лично для меня остаётся небезопасным, так как был неоднократно скомпроментирован.

[timmaxim]

Хватит собирать базы телефонных номеров пользователей!

Пользователь сам должен решать, какой уровень "безопасности" ему нужен. Ваша задача - предоставить выбор, а не собирать конфиденциальные данные под предлогом обеспечения безопасности. Безопасней - не передовать вам или кому либо ещё свой номер телфона.

[Segrey646]

а как вы будете бороться с обходом\взломом 2FA?

[push_banker]

А под какую модель угроз рассчитана ваша система? Один тип злоумышленника может мои данные из соц сети раскрыть, а другой может с помощью них посадить. И у меня почему-то второй вызывает больше опасений. Против этого типа вы ничего не хотите сделать?