Comments 57
Заинтересованным в безопасности собственных личных данных хочется в очередной раз посоветовать использовать для регистрации на сайтах отдельный ящик электронной почты с неочевидным именем.
Левый ящик для всяких интернет сервисов это конечно хорошо, но заинтересованные в безопасности собственных личных данных, не регистрируются в социальных сетях.
+14
ога, и не ходят в интернет, и компьютер хранят в сейфе в выключенном виде.
+23
UFO just landed and posted this here
Волков бояться — в лес не ходить. Это про вас.
+2
Даже перефразирую «Лес бояться — волков не ловить». Если кто-то в соц.сетях видит только котиков и фотки с пьянок, и поэтому не пользуется, это его выбор, не надо навязывать его другим людям. Это как с топором, кто-то видит в нём инструмент для шинковки бабушек, а кто-то инструмент для постройки Кижей.
+1
Пользование соц.сетями — это добровольное выкладывание личной информации, телефона, почтового адреса,…
Поэтому в соцсетях нет людей, которые заботятся о безопасности личных данных.
Поэтому в соцсетях нет людей, которые заботятся о безопасности личных данных.
+6
Это не совсем так. Например, моя страничка Вконтакте существует как раз для того, чтобы меня там могли найти (в том числе и контакты). И там явно указан мой номер телефона. Но это совершенно не значит, что я «не забочусь о безопасности личных данных». И вообще, отличный способ пользоваться соцсетями — ставить в настройках приватности открытый доступ на все для всех и каждого. И тогда перед тем как что-то выкладывать туда трижды подумаешь «а хочу ли я чтобы это увидели все»?
+29
А если выкладывать специально для этого сделанные почту и номер телефона?
+1
Моей знакомой 2 раза возвращали утерянные документы через ВК.
+5
Но это совсем не так, достаточно адреса электронной почты жертвы, и злоумышленник мог получить первые семь цифр номера.
Статья немного неактуальна, так как 22 или 23 мая ВК изменили систему восстановления пароля. Теперь видно только две последние цифры номера.
-6
Я дочитал вашу статью.
Просто поддержка отреагировала через 24-36 часов после публикации уязвимости на devteev.blogspot.ru. Я точно знаю время, так как использование этой уязвимости Дмитрий Евтеев и команда заложили в один из шагов конкурса Конкурентная разведка на PHDays, а администрация ВК своим оперативным исправлением немного спутала карты участникам в одном из шагов этого конкурса.
Просто поддержка отреагировала через 24-36 часов после публикации уязвимости на devteev.blogspot.ru. Я точно знаю время, так как использование этой уязвимости Дмитрий Евтеев и команда заложили в один из шагов конкурса Конкурентная разведка на PHDays, а администрация ВК своим оперативным исправлением немного спутала карты участникам в одном из шагов этого конкурса.
+2
Собрать базу номеров можно было так же через mail.ru агент. Через апи поиска находим человека по номеру. При том никаких лимитов на количество запросов не было.
Закрыли уязвимость или нет я понятия не имею…
Закрыли уязвимость или нет я понятия не имею…
+1
У меня Вконтакте указан номер мобильного в открытой форме, еще с начала существования самой соц.сети, т. е. много лет. Но 9 из 10 смс-спамов присылают мне банки (от слова банк), такси (без моего разрешения) и сами операторы. Остальное это и есть скорее всего интернет спамеры, но не факт.
+4
Рынку не хватает стандартов безопасности при обработке персональных данных.
Например в банковском секторе есть стандарт PCI DSS который устанавливает в т.ч. требования по маскировке номеров банковских карт.
«Номера PAN при отображении должны маскироваться (максимальным количеством разрешённых к отображению цифр являются первые шесть и последние четыре цифры).»
Нечто подобное можно было бы внедрить и для обработки персональных данных (в т.ч. и для мобильных номеров).
Подробнее про PCI DSS
Например в банковском секторе есть стандарт PCI DSS который устанавливает в т.ч. требования по маскировке номеров банковских карт.
«Номера PAN при отображении должны маскироваться (максимальным количеством разрешённых к отображению цифр являются первые шесть и последние четыре цифры).»
Нечто подобное можно было бы внедрить и для обработки персональных данных (в т.ч. и для мобильных номеров).
Подробнее про PCI DSS
+9
Ну и что бы изменилось, если бы одна соц сеть первые 6, а вторая последние 4 выложила?)
+1
А вот вопрос к профессионалам — что может сделать Вася Пупкин, зная мои электронные почтовые адреса, логины соцсетей и номер телефона?
На все аккаунты бредовый пароль вроде "_>>-D?79D83ZbUwt<6a%bE{dUC", который я даже не вижу, и многолетний номер телефона, привязанный к паспорту контрактом.
Везде, где можно — включена двухфакторная авторизация.
Все мои данные открыто доступны в интернете хоть немного умеющим искать
На все аккаунты бредовый пароль вроде "_>>-D?79D83ZbUwt<6a%bE{dUC", который я даже не вижу, и многолетний номер телефона, привязанный к паспорту контрактом.
Везде, где можно — включена двухфакторная авторизация.
Все мои данные открыто доступны в интернете хоть немного умеющим искать
+1
можно например сменить пинкод на вашей банковской карте)
+2
Что Вам даст пинкод к моей банковской карте? имхо, CVV2 и то более интересен.
Кстати, какой из?
Кстати, какой из?
+1
Первый который
+1
Ну хорошо, сменили Вы пинкод, перехватив смс, например. дальше то что?
+1
Теперь второй. Придумайте, пожалуйста, и для этого варианта способ, пожалуйста.
А если вы пользуетесь картой, к примеру, для снятия наличности, то завладеть картой можно без особых трудностей.
А если вы пользуетесь картой, к примеру, для снятия наличности, то завладеть картой можно без особых трудностей.
0
Пароли в keepass храните? Как-то мне кажется, лучше иметь длинные пароли, но которые можно запомнить. Я вот не знаю, как бы заходил на почту не с личного компьютера, не помня свой, пусть и 16тизначный, пароль.
+1
Я не вхожу с не доверенных устройств к себе на почту, все пароли один раз вбиты в телефон, в броузер при надобности копируются из KeePassX'а, да.
В случае надобности почты все аккаунты есть на телефоне, если телефон сел — домой по RDP зашел и смотрю на здоровье.
да, файлик базы паролей бекапится, т.к. это единственная точка очень крупного отказа.
В случае надобности почты все аккаунты есть на телефоне, если телефон сел — домой по RDP зашел и смотрю на здоровье.
да, файлик базы паролей бекапится, т.к. это единственная точка очень крупного отказа.
+1
Ну компьютеры, которые я админю, я считаю доверенным устройствами, иногда приходится их использовать для захода на почту. Наверное надо просто на серверах доменов хранить копию базы KeePass да и всё, а с иных (не доменных) компьютеров на почту не захожу. А вообще надо завести флешку с portable-версиями KeePass, какого-нибудь VNC-клиента, ибо RDP использовать нет возможности, ну и Putty.
+1
один червячок и кто-то сразу поимеет пароль от ВСЕХ Ваших аккаунтов! Но зато он будет 30-ти значным и со спецсимволами… Правда это уже будет слабое утешение…
+4
Например:
1) Зная лишь емайл, он мог бы похитить Вашу учётную запись Skype (/post/158545)
2) Зная только имя и email, он мог бы получить доступ к Вашим аккаунтам на Amazon, Gmail, Apple и Twitter, а также, он бы мог навсегда удалить информацию на устройствах iPad, iPhone и MacBook (/post/149179).
3) Иногда можно восстановить доступ к некоторым сервисам, если обратиться к службе поддержки и пудрить им мозги.
4) Можно использовать Ваши данные, чтобы создать точную копию Вашего аккаунта, а потом обманывать Ваших знакомых.
5) Некоторые сайты позволяют сбросить пароль зная лишь Ваш номер телефона/место жительство и т.д.
Проблема в том, что Вы не можете уберечь других людей/сервисов от ошибок/уязвимостей. Поэтому, часто (но не всегда) можно услышать „познавательные” истории о том, что не стоит выкладывать персональную информацию в общем доступе. Но как всегда, никто никого не слушает, ибо пока сам не будешь жертвой, не научишься защищаться.
В общем, рекомендую прочитать про кражу личности и социальной инженерии.
1) Зная лишь емайл, он мог бы похитить Вашу учётную запись Skype (/post/158545)
2) Зная только имя и email, он мог бы получить доступ к Вашим аккаунтам на Amazon, Gmail, Apple и Twitter, а также, он бы мог навсегда удалить информацию на устройствах iPad, iPhone и MacBook (/post/149179).
3) Иногда можно восстановить доступ к некоторым сервисам, если обратиться к службе поддержки и пудрить им мозги.
4) Можно использовать Ваши данные, чтобы создать точную копию Вашего аккаунта, а потом обманывать Ваших знакомых.
5) Некоторые сайты позволяют сбросить пароль зная лишь Ваш номер телефона/место жительство и т.д.
Проблема в том, что Вы не можете уберечь других людей/сервисов от ошибок/уязвимостей. Поэтому, часто (но не всегда) можно услышать „познавательные” истории о том, что не стоит выкладывать персональную информацию в общем доступе. Но как всегда, никто никого не слушает, ибо пока сам не будешь жертвой, не научишься защищаться.
В общем, рекомендую прочитать про кражу личности и социальной инженерии.
+7
Если же пользователь также зарегистрирован в «Фейсбуке» (чего есть ненулевая вероятность) и злоумышленник обладает адресом электронного ящика, с которым ассоциирована учётная запись, то можно установить финальные последние четыре цифры телефонного номера.
В фейсбуке даже адрес мыла не нужен. В адресе страницы в открытым виде присутствует адрес ящика, домен подобрать не так уж и сложно. А чтобы убрать из адреса страницы мыло, ну что? Правильно, привязать страницу к номеру телефона…
+1
А есть тут инсайдеры из Контакта?
Такой вопрос: если я меняю телефонный номер — старый номер остается где-то в логах, или полностью исчезает? Иными словами, сохраняется ли история моих номеров, или в БД только одно поле для номера?
Такой вопрос: если я меняю телефонный номер — старый номер остается где-то в логах, или полностью исчезает? Иными словами, сохраняется ли история моих номеров, или в БД только одно поле для номера?
+1
Вы думаете контактик работает под девизом «Бэкапы придумал трус!»?
+4
Бэкапы — это да, но не хранятся же они вечно? Наверное, старые бэкапы заменяются на новые время от времени? Да и объем данных там неслабый… Но на самом деле я просто не знаю, а знать такое ИМХО весьма полезно — это же мои персональные данные как никак:)
+1
Учитывая, что удалённые фотки они хранят «вечно», то и с другими данными думаю так же.
+2
Одного не пойму: как им денег хватает такую инфраструктуру содержать? На одно «вечное» хранение фотографий с их объемами должно денег уходить просто немерянно.
+1
Винты не так уж дороги в наше время, так что почему бы и нет + где-то читал, что им дешевле хранить, чем удалять. Не помню точно, чем это обосновывается, но вроде временными затратами, т.е. дешевле хранить, чем тратить время на удаление.
0
Винты, может быть, и не очень дороги, но из нужно много, очень много, разве я не прав? Особенно, если прикинуть объемы. К тому же винты имеют свойство ломаться. С их объемами и количество поломанных железяк должно быть довольно большим, я сам когда-то читал, что у них ломается несколько десятков дисков в день. А это только винты, есть же еще техподдержка (явно не один десяток человек), юристы, админы, разработчики. Неясно, кстати, вышли ли они уже на уровень самоокупаемости? На чьи деньги они живут?
+1
Может ещё не все деньги инвесторов проели + находят новых. Если не закроется через пару лет, то скорей всего вышли и превысили самоокупаемость. Может уже и вышли или близки, но с другой стороны, не без причины его партнёры продали свои доли.
PS может вк входит в российскую версию PRISM, по этому с деньгами проблем нет :)
PS может вк входит в российскую версию PRISM, по этому с деньгами проблем нет :)
+1
А вы смешной! ))
А столбик контекстной рекламы под меню пользователя (слева) думаете бесплатно там болтается (по крайней мере в русскоязычной настройке)??? А «внутриконтактовская валюта» — голоса? А… да тут десятки спосособов монетизации на любой вкус!
«На чьи денег»… «Куда они их девают» лучше спросить!
А столбик контекстной рекламы под меню пользователя (слева) думаете бесплатно там болтается (по крайней мере в русскоязычной настройке)??? А «внутриконтактовская валюта» — голоса? А… да тут десятки спосособов монетизации на любой вкус!
«На чьи денег»… «Куда они их девают» лучше спросить!
+2
У них самый большой объём трафика в рунете — уже только на этом можно позволить всей команде пускать самолётики из пятитысячных купюр; просто выборочно заворачивая небольшую часть трафика на тот или иной (разумеется проплаченый) ресурс.
+1
Мне думается, что у них может стоять какая-то система, собирающая портрет пользователя на основе его страницы и личным сообщениям для последующей продажи данной информации рекламодателям, вот где для рекламы сундук сокровищ.
+1
Фотки — это файлы на диске. Дешевле отметить файл в базе как удаленный, чем реально его удалять.
Телефон — это столбец в таблице БД. Так что вполне может быть что и не так же. Но при смене телефона, например, приходит подтверждающая SMS на СТАРЫЙ номер, при том что уже введен новый. Откуда возникает мысль, что не все так просто — в какой-то момент хранится одновременно два телефона. Вопрос — хранятся ли они и дальше, или старый окончательно затирается?
Телефон — это столбец в таблице БД. Так что вполне может быть что и не так же. Но при смене телефона, например, приходит подтверждающая SMS на СТАРЫЙ номер, при том что уже введен новый. Откуда возникает мысль, что не все так просто — в какой-то момент хранится одновременно два телефона. Вопрос — хранятся ли они и дальше, или старый окончательно затирается?
+1
К тому же, хранение всех версий данных это поле для анализа и последующей продажи информации, например с телефоном — как часто человек меняет телефон, если меняет то остаётся ли у того же оператора, как часто меняет, в какие сезоны чаще и т. д. И продавать эту информацию операторам на пользование. Обезличенные данные вполне законно думаю можно продавать.
+1
По паспортным данным и запросам к большой тройке это делается быстрее, чем выискивать фейковые аккаунты в соцсетях, как мне кажется
+1
Раньше, да. Контакт, насколько знаю, с мая не выводит полный номер (только 2 последние цифры). Правда пользователи сами указывают там свой номер.
0
Sign up to leave a comment.
Телефонный номер пользователя отечественных соцсетей