Pull to refresh

Comments 57

Заинтересованным в безопасности собственных личных данных хочется в очередной раз посоветовать использовать для регистрации на сайтах отдельный ящик электронной почты с неочевидным именем.

Левый ящик для всяких интернет сервисов это конечно хорошо, но заинтересованные в безопасности собственных личных данных, не регистрируются в социальных сетях.
ога, и не ходят в интернет, и компьютер хранят в сейфе в выключенном виде.
UFO just landed and posted this here
Волков бояться — в лес не ходить. Это про вас.
Даже перефразирую «Лес бояться — волков не ловить». Если кто-то в соц.сетях видит только котиков и фотки с пьянок, и поэтому не пользуется, это его выбор, не надо навязывать его другим людям. Это как с топором, кто-то видит в нём инструмент для шинковки бабушек, а кто-то инструмент для постройки Кижей.
Пользование соц.сетями — это добровольное выкладывание личной информации, телефона, почтового адреса,…
Поэтому в соцсетях нет людей, которые заботятся о безопасности личных данных.
Это не совсем так. Например, моя страничка Вконтакте существует как раз для того, чтобы меня там могли найти (в том числе и контакты). И там явно указан мой номер телефона. Но это совершенно не значит, что я «не забочусь о безопасности личных данных». И вообще, отличный способ пользоваться соцсетями — ставить в настройках приватности открытый доступ на все для всех и каждого. И тогда перед тем как что-то выкладывать туда трижды подумаешь «а хочу ли я чтобы это увидели все»?
А если выкладывать специально для этого сделанные почту и номер телефона?
Моей знакомой 2 раза возвращали утерянные документы через ВК.
При желании документы можно вернуть и без ВК. Мне тоже возвращали документы, но не через ВК.
Я ей сочувствую, искренне.
Но это совсем не так, достаточно адреса электронной почты жертвы, и злоумышленник мог получить первые семь цифр номера.

Статья немного неактуальна, так как 22 или 23 мая ВК изменили систему восстановления пароля. Теперь видно только две последние цифры номера.
Вы не дочитали мою статью, я указал, что «В Контакте» это уже исправлено. Сделано это было, кстати, на следующее утро после моего запроса. Выкладывать такие данные, не дав возможности техподдержке отреагировать, я бы не стал.
Я дочитал вашу статью.
Просто поддержка отреагировала через 24-36 часов после публикации уязвимости на devteev.blogspot.ru. Я точно знаю время, так как использование этой уязвимости Дмитрий Евтеев и команда заложили в один из шагов конкурса Конкурентная разведка на PHDays, а администрация ВК своим оперативным исправлением немного спутала карты участникам в одном из шагов этого конкурса.
И в итоге контакт подарил еще 2 цифры от номера тем, кто уже собрал первую часть номера, что в сумме стало гораздо опасней.
Собрать базу номеров можно было так же через mail.ru агент. Через апи поиска находим человека по номеру. При том никаких лимитов на количество запросов не было.
Закрыли уязвимость или нет я понятия не имею…
У меня Вконтакте указан номер мобильного в открытой форме, еще с начала существования самой соц.сети, т. е. много лет. Но 9 из 10 смс-спамов присылают мне банки (от слова банк), такси (без моего разрешения) и сами операторы. Остальное это и есть скорее всего интернет спамеры, но не факт.
Рынку не хватает стандартов безопасности при обработке персональных данных.
Например в банковском секторе есть стандарт PCI DSS который устанавливает в т.ч. требования по маскировке номеров банковских карт.

«Номера PAN при отображении должны маскироваться (максимальным количеством разрешённых к отображению цифр являются первые шесть и последние четыре цифры).»

Нечто подобное можно было бы внедрить и для обработки персональных данных (в т.ч. и для мобильных номеров).

Подробнее про PCI DSS
Ну и что бы изменилось, если бы одна соц сеть первые 6, а вторая последние 4 выложила?)
Вы же внимательно прочитали, что маска 6+4 используется для банковских карт?
Для телефонных номеров можно сделать другую маску. Какую — нужно продумывать отдельно. Например
Первые три цифры (включая код страны) и последние две.
А вот вопрос к профессионалам — что может сделать Вася Пупкин, зная мои электронные почтовые адреса, логины соцсетей и номер телефона?
На все аккаунты бредовый пароль вроде "_>>-D?79D83ZbUwt<6a%bE{dUC", который я даже не вижу, и многолетний номер телефона, привязанный к паспорту контрактом.
Везде, где можно — включена двухфакторная авторизация.
Все мои данные открыто доступны в интернете хоть немного умеющим искать
можно например сменить пинкод на вашей банковской карте)
Что Вам даст пинкод к моей банковской карте? имхо, CVV2 и то более интересен.
Кстати, какой из?
Ну хорошо, сменили Вы пинкод, перехватив смс, например. дальше то что?
Теперь второй. Придумайте, пожалуйста, и для этого варианта способ, пожалуйста.

А если вы пользуетесь картой, к примеру, для снятия наличности, то завладеть картой можно без особых трудностей.
что — второй? какой способ? что-то я не понимаю, что вы хотите этим сказать
Изьясняйтесь яснее, пожалуйста, иначе желание продолжать общение стремится к нулю.
Я сегодня крайне, крайне неудачно шучу, собственно, на этом всё.
Пароли в keepass храните? Как-то мне кажется, лучше иметь длинные пароли, но которые можно запомнить. Я вот не знаю, как бы заходил на почту не с личного компьютера, не помня свой, пусть и 16тизначный, пароль.
Я не вхожу с не доверенных устройств к себе на почту, все пароли один раз вбиты в телефон, в броузер при надобности копируются из KeePassX'а, да.
В случае надобности почты все аккаунты есть на телефоне, если телефон сел — домой по RDP зашел и смотрю на здоровье.
да, файлик базы паролей бекапится, т.к. это единственная точка очень крупного отказа.
Ну компьютеры, которые я админю, я считаю доверенным устройствами, иногда приходится их использовать для захода на почту. Наверное надо просто на серверах доменов хранить копию базы KeePass да и всё, а с иных (не доменных) компьютеров на почту не захожу. А вообще надо завести флешку с portable-версиями KeePass, какого-нибудь VNC-клиента, ибо RDP использовать нет возможности, ну и Putty.
keepassx изначально портабл — куда положил, оттуда и запускается.
У меня база хранится на домашнем, рабочем комьютере и синхронизируется через skydrive.
один червячок и кто-то сразу поимеет пароль от ВСЕХ Ваших аккаунтов! Но зато он будет 30-ти значным и со спецсимволами… Правда это уже будет слабое утешение…
Например:
1) Зная лишь емайл, он мог бы похитить Вашу учётную запись Skype (/post/158545)

2) Зная только имя и email, он мог бы получить доступ к Вашим аккаунтам на Amazon, Gmail, Apple и Twitter, а также, он бы мог навсегда удалить информацию на устройствах iPad, iPhone и MacBook (/post/149179).

3) Иногда можно восстановить доступ к некоторым сервисам, если обратиться к службе поддержки и пудрить им мозги.

4) Можно использовать Ваши данные, чтобы создать точную копию Вашего аккаунта, а потом обманывать Ваших знакомых.

5) Некоторые сайты позволяют сбросить пароль зная лишь Ваш номер телефона/место жительство и т.д.

Проблема в том, что Вы не можете уберечь других людей/сервисов от ошибок/уязвимостей. Поэтому, часто (но не всегда) можно услышать „познавательные” истории о том, что не стоит выкладывать персональную информацию в общем доступе. Но как всегда, никто никого не слушает, ибо пока сам не будешь жертвой, не научишься защищаться.

В общем, рекомендую прочитать про кражу личности и социальной инженерии.
Если же пользователь также зарегистрирован в «Фейсбуке» (чего есть ненулевая вероятность) и злоумышленник обладает адресом электронного ящика, с которым ассоциирована учётная запись, то можно установить финальные последние четыре цифры телефонного номера.

В фейсбуке даже адрес мыла не нужен. В адресе страницы в открытым виде присутствует адрес ящика, домен подобрать не так уж и сложно. А чтобы убрать из адреса страницы мыло, ну что? Правильно, привязать страницу к номеру телефона…
А есть тут инсайдеры из Контакта?
Такой вопрос: если я меняю телефонный номер — старый номер остается где-то в логах, или полностью исчезает? Иными словами, сохраняется ли история моих номеров, или в БД только одно поле для номера?
Вы думаете контактик работает под девизом «Бэкапы придумал трус!»?
Бэкапы — это да, но не хранятся же они вечно? Наверное, старые бэкапы заменяются на новые время от времени? Да и объем данных там неслабый… Но на самом деле я просто не знаю, а знать такое ИМХО весьма полезно — это же мои персональные данные как никак:)
Учитывая, что удалённые фотки они хранят «вечно», то и с другими данными думаю так же.
Одного не пойму: как им денег хватает такую инфраструктуру содержать? На одно «вечное» хранение фотографий с их объемами должно денег уходить просто немерянно.
Винты не так уж дороги в наше время, так что почему бы и нет + где-то читал, что им дешевле хранить, чем удалять. Не помню точно, чем это обосновывается, но вроде временными затратами, т.е. дешевле хранить, чем тратить время на удаление.
Винты, может быть, и не очень дороги, но из нужно много, очень много, разве я не прав? Особенно, если прикинуть объемы. К тому же винты имеют свойство ломаться. С их объемами и количество поломанных железяк должно быть довольно большим, я сам когда-то читал, что у них ломается несколько десятков дисков в день. А это только винты, есть же еще техподдержка (явно не один десяток человек), юристы, админы, разработчики. Неясно, кстати, вышли ли они уже на уровень самоокупаемости? На чьи деньги они живут?
Может ещё не все деньги инвесторов проели + находят новых. Если не закроется через пару лет, то скорей всего вышли и превысили самоокупаемость. Может уже и вышли или близки, но с другой стороны, не без причины его партнёры продали свои доли.

PS может вк входит в российскую версию PRISM, по этому с деньгами проблем нет :)
А вы смешной! ))
А столбик контекстной рекламы под меню пользователя (слева) думаете бесплатно там болтается (по крайней мере в русскоязычной настройке)??? А «внутриконтактовская валюта» — голоса? А… да тут десятки спосособов монетизации на любой вкус!
«На чьи денег»… «Куда они их девают» лучше спросить!
У них самый большой объём трафика в рунете — уже только на этом можно позволить всей команде пускать самолётики из пятитысячных купюр; просто выборочно заворачивая небольшую часть трафика на тот или иной (разумеется проплаченый) ресурс.
Мне думается, что у них может стоять какая-то система, собирающая портрет пользователя на основе его страницы и личным сообщениям для последующей продажи данной информации рекламодателям, вот где для рекламы сундук сокровищ.
Да, мне тоже кажется что основные системы контекстной рекламы в рунете уже крепко завязаны между собой. Уж очень целенаправленная подборка порой идёт…
Фотки — это файлы на диске. Дешевле отметить файл в базе как удаленный, чем реально его удалять.
Телефон — это столбец в таблице БД. Так что вполне может быть что и не так же. Но при смене телефона, например, приходит подтверждающая SMS на СТАРЫЙ номер, при том что уже введен новый. Откуда возникает мысль, что не все так просто — в какой-то момент хранится одновременно два телефона. Вопрос — хранятся ли они и дальше, или старый окончательно затирается?
в жж вот помнится можно было откатиться на старую версию контактной эл. почты, если попытка угона етц, не помню уже, за давностью времени
К тому же, хранение всех версий данных это поле для анализа и последующей продажи информации, например с телефоном — как часто человек меняет телефон, если меняет то остаётся ли у того же оператора, как часто меняет, в какие сезоны чаще и т. д. И продавать эту информацию операторам на пользование. Обезличенные данные вполне законно думаю можно продавать.
По паспортным данным и запросам к большой тройке это делается быстрее, чем выискивать фейковые аккаунты в соцсетях, как мне кажется
Телефоны тут лишь как пример, для маркетингового анализа данных у них тьма.

PS к тому же можно вывести формулу выявления фейковых аккаунтов с низкой погрешностью, при желании. К тому же у них нечто подобное вроде и так уже есть.
Да это-то как раз понятно, такие базы продавать для анализа…
Раньше, да. Контакт, насколько знаю, с мая не выводит полный номер (только 2 последние цифры). Правда пользователи сами указывают там свой номер.
Sign up to leave a comment.

Articles