Дыра ВКонтакте, утечка персональных данных пользователей

    По сети стремительно расползается новость о найденной дыре в системе восстановления пароля социальной сети ВКонтакте, введя номер мобильного телефона можно получить имя и аватар человека, зарегистрировшегося под этим номером в социальной сети.

    Воспользоваться этой «телефонной книгой» элементарно:

    1. Заходим на мобильную версию сайта m.vk.com
    2. Жмем «Забыли пароль?»
    3. Вводим номер телефона
    4. Получаем имя и аватар

    Иногда надо ввести капчу.

    Дело за малым — пока дыра активна, отпарсить самую большую базу телефонных номеров России и СНГ.

    UPDATE По состоянию на 16.01.2014 проблема частично решена — указанный выше метод не выдает имя пользователя, только аватар.

    Который в ряде случаев может вывести на страницу пользователя, если воспользоваться поиском по картинке. Если же аватар очень распространен — тоже не беда, в большинстве случаев путь к картинке содержит 3 последние цифры ID пользователя(Пример: cs123456.vk.me/v1234567890/… где 890 — последние 3 цифры ID пользователя). На данный момент метод совершенно бесполезен для поиска пользователей без аватара.

    В планах рассмотреть механизм работы мобильного API.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 210

      +3
      Веселая штука, разве что капча замедлит парсинг и составление базы.
        0
        Поэтому я никогда ничего не регаю на свой мобильник. Спасают левые симки: http://forum.antichat.ru/forum150.html. Можно даже сказать человеку (активатору), чтобы оставил симку и не выбрасывал. Это конечно деньги, но активировать аккаунт это 10руб… Лучше чем принимать тонны спама или быть «под колпаком».
        • UFO just landed and posted this here
            +1
            Можно подумать, всякие вконтакты знают IMEI…
              +1
              Если вы пользуетесь мобильным клиентом ( на андроиде в частности, айос вроде не отдает imei ), то может и знать.
              0
              Все находится у активатора. И симка, и телефон. Я ему пишу по аське, например — «прими смс». Он вставляет симку в телефон, ждет, посылает мне текст смски по той же аське.
              • UFO just landed and posted this here
                  –6
                  А как он это узнает не имея того же имени пользователя\имейла?
                  • UFO just landed and posted this here
                      +2
                      Только что из раздела восстановления пароля ВК:

                      Восстановление доступа к странице
                      Пожалуйста, введите в целях безопасности Фамилию, указанную на Вашей странице.

                      Так что тут можно еще погадать.
                        +1
                        Все делается проще — покупаете виртуальный номер (лайфхак. некоторые зарубежные операторы предлагают триал на пару дней), ставите софтину-мессенджер на компьютер, принимаете СМС и забываете про номер. Вуаля, анонимный аккаунт готов)
                          +2
                          А есть ссылка на триал?
                            0
                            давно это было все… Поищите в гугле сервисы запросом free uk virtual numbers — тут ВК тоже не промах: регистрируемся через прокси с выбором английского языка + не все виртуальные номера срабатывают — контакт тоже мониторит их списки
                              +1
                              Жаль, тоже понадеялся на рабочий вариант. Была необходимость в аккаунте пару месяцев назад, достаточно долго шерстил всевозможные варианты виртуальных номеров, но так и не нашел рабочего.
                                +1
                                Рабочий вариант-то по-любому есть — я тоже ОЧЕНЬ долго искал. Тогда повезло и наткнулся на итальянского провайдера. На тот момент помню умные люди советовали искать такие сервисы в Китае — контакт их хорошо переваривал. Было это, кстати, как раз пару месяцев назад
                                  +1
                                  Да нет, я верю, что они есть, просто сейчас с этим туже, чем тогда, когда вы пробовали. Теперь дешевле и быстрее купить симкарту, как предлагается во втором комментарии, чем тратить часы на поиск и не найти, благо они дешевые.
                                    0
                                    не на правах рекламы — anveo.com предлагает виртуальные номера телефонов, многие из которых (в зависимости от страны) умеют принимать смс. сам пользуюсь этим сервисом уже 3 года, пока только пара отправленных смс не дошла до адресата.
                                0
                                VoxOx. Не триал, дают номер в США и доллар в подарок.
                                0
                                В таком случае нужен не виртуальный номер, так как на него послать смс можно только с реального номера. А нужен хостинг сим карты, многие сервисы сейчас такое предоставляют. Стоит в среднем от 1500 до 2500 в месяц такая услуга.(На хостинге естественно будет сим карта купленная сервисом и не имеющая к вам никакого отношения.)
                          +1
                          У активаторов очень много клиентов с подобными просьбами, им просто ненужно это. И портить себе репутацию — себе дороже ) Но, конечно, я скорее смотрю на это со своей точки зрения, так как не использую контакт так, как положено, для меня это скорее какая-то полуделовая переписка / музыка / видео. То есть, конечно, если бы я хотел там постить свои фотки, признаваться кому-то в любви или что-то в этом роде, то я, безусловно, не доверил бы кому то номер телефона. Я бы просто купил у барыг пару десятков левых симок и регнул сам на левые номера.
                      +4
                      Или, можно пользоваться сервисами активаций. Например sms-area.org или sms-reg.org. Найти левый номер уже давно не проблема.
                        +2
                        Поправлю sms-reg.COM — проверено годами. Пользуюсь, советую так как очень большой выбор номеров и постоянное наличие.
                          0
                          "...© Copyright 2012-2013..."
                          Сервис-то новый, на ачате еще его рекламили одно время, о каких годах идет речь?
                        0
                        Как-то у вас сложно все.
                        2 строчки на PHP, шаровый хостинг и www.nexmo.com справляются с задачей на ура.
                          0
                          Если я правильно понял nexmo — это для рассылок а не для получения. По крайней мере где то несколько месяцев назад я им пытался воспользоваться — возможности принять смс я там не видел. Если не прав — поправте.
                            0
                            Да, вы ошибаетесь. У них есть возможность указать собственный API-url, куда nexmo будет отправлять все принятые на номер sms-ки.
                              +1
                              Простите, а можно поподробнее об этом?
                          0
                          Если симкой долго не пользоваться, она перестает действовать. И что делать, если для какой-то операции надо будет ввести код, который приходит в смс на номер, которого уже нет? :)
                          • UFO just landed and posted this here
                            +1
                            Если писать многопоточный парсер, то ничего не замедлит.
                            Кстати, и по деньгам выйдет не так много. Вон, сервисы антикапч уже снижают цены — на pixodrom.com написано, что у них 0.7$ за 1000 капч.
                            А если учесть, что капча вылезает не каждый раз, то выходит совсем недорого за ту же тысячу спарсенных номеров
                              +2
                              Как это не замедлит? Капча очень даже замедлит. Антигейт / прокси — все это будет очень тормозить процесс даже если писать многопоток на мультикурле.
                                0
                                Ну, хорошо, немного замедлит. Но.
                                Распознавание капчи на пиксодроме пусть будет 6 сек в среднем (для простоты), тогда будет 10 капч в минуту.
                                Ставим 100 потоков, и за 1 минуту получаем 100*10 = 1000 проверенных профилей. По-моему, вполне неплохо.
                                Ну, это грубо, но смысл я думаю ясен.
                                Увеличение проверок будет прямо пропорционально количеству потоков и мало зависит от капч. Тут больше зависимость от скорости прокси.
                                  +1
                                  Скажу по секрету, что капча появлялась после 4-5 попытки получения данных, поэтому достаточно было всего лишь работать через прокси. Прогнал just for lulz по базе одного оператора — неплохая статистика определения. Далее тупо поиск по имени и городу и сравнение аватарки — утечка, однако! Неслабая утечка, хотя и не такая уж опасная)
                                    +1
                                    На ней можно неплохо поднять ) Думаю мы еще услышим о смс-рассылке с именами пользователей )
                                      +1
                                      Можно и без этого неплохо поднять, а вот передача личных данных 3-им лицам — до 500 тысяч штрафа или 1 год) Так что лучше не пренебрегать законом) Хотя в своих интересах согласно этому закону вроде как можно работать
                                  +2
                                  Не замедлит ничуть, если писать не «многопоток», а нормальный асинхронный код. Сервисы антикапч позволяют хоть весь миллион капч поставить на распознавание одновременно — а людей там работает много, параллелизм хороший получится.
                                    +1
                                    Простите, а в чем разница многопотока и асинхронной работы?
                                      +2
                                      В накладных расходах. При создании нескольких потоков у нас будет слишком много context switch'ев, + на каждый поток системой выделяется порядка 4 мегабайт на стек.

                                      В итоге асинхронная реализация в 1 потоке имеет все шансы (и на практике так и происходит) работать быстрее, чем тупая реализация, в которой каждый поток посылает запрос, затем ждет ответа.
                                        0
                                        Ну в данном случае вы затрагиваете тему именно ресурсов. Там эти различия во времени не являются значительными, так как среднестатистический впс парсит 1к страниц за 2-5 секунд на мультикурле. Наверное можно даже это дело как-то разогнать на 0.5-2 секунды, но это не такая большая разница во времени, как постоянная нужда ломать капчу или менять проксики. Там 6-10 секунд вполне обычное дело.
                                          0
                                          В данном случае лично я говорил о том, что число одновременно ломаемых капч ограничено весьма слабо. Таким образом, за 6-10 секунд будет сломана не одна капча, а все капчи.
                                0
                                на этом сайте можно найти страницу по аватарке
                                +12
                                Почему сюда написали, а не представителям ВК?
                                  +12
                                  Краудсорсинг…
                                    +10
                                    Я удивлен, что на хабре еще нет этой новости, так как все твиттеры и развлекательные порталы забиты обсуждением этой дыры. Скорее всего представители ВК уже в курсе.
                                      –8
                                      Ну, например, потому что куда хочет — туда и пишет? Правило «сначала написать администрации» придумали людишки, которые, как правило, ни одной проблемы связанной с безопасностью в своей жизни не нашли, и зарепортить её не пытались (скажем так, это не всегда так просто, как кажется). Более того, если вы придумали себе какие-то странные правила — это не значит, что другие люди тоже руководствуются этими правилами.
                                      +8
                                      В Facebook абсолютно такое же поведение и без мобильной версии сайта… Ещё и показывает часть email
                                        +5
                                        Разница в том, что вконтакте обязательно указывать мобильный телефон при регистрации, а в фейсбуке — нет, да и парсить цифровые комбинации с известными префиксами и фиксированной длиной не в пример проще.
                                          +2
                                          Просто вводишь чужой email с левым паролем и получаешь имя и фамилию, а также аватар.
                                            0
                                            Даже этого не нужно уже. Просто в поиске фейсбуке вводишь email и получаешь пользователя. Более того даже по номеру телефона определяет!
                                              0
                                              А владельцу приходит письмо, что он входил с неправильным паролем.
                                            +3
                                            Определить личность можно не только по номеру телефона, но и по email.
                                              +3
                                              E-mail не получится перебирать последовательно посимвольно, а номера, зная занятые номерные ёмкости, гораздо проще.
                                              –18
                                              Разве это можно назвать утечкой ПД? ФИО вконтактике, это не 100% имя по паспорту. А аватар вообще ничего не говорит. Юридически контакт дает возможность сопоставить ник и аватар из своей базы, которые не являются ПД, по предоставлению ПД — телефона или емейла.
                                                +26
                                                В суд может с этим не пойдешь, но сопоставление номера телефона и учетной записи пользователя ничем иным, как утечкой персональных данных не является. Номер телефона является закрытой информацией для служебных нужд и удобства самого пользователя, возможность неавторизованного сопоставления закрытой и открытой информации и есть утечка.
                                                  –18
                                                  Аватар и ник, насколько мне известно, данные не скрываемые никакой настройкой контакта. Т.е. они всегда доступны.
                                                  Номер телефона вам не выводит контакт, вы его знаете сами, заранее.
                                                  А на выходе получаете и так доступные данные пользователя.
                                                  Тут вопрос относительно того, как это квалифицировать очень глубокий и я бы всё же это пока утечкой не называл. :)
                                                    +7
                                                    Попробую перефразировать. Введя номер телефона 123-45-67, ВКонтакте ответит нам:

                                                    Пользователь не найден.
                                                    Пожалуйста, убедитесь, что Вы правильно ввели телефон, email или логин.
                                                    Если Вы не помните никаких данных, Вы можете нажать сюда


                                                    Т.е. такого телефона нет и нужно искать дальше. Как только находим валидный номер телефона, мы получаем это:

                                                    Аватар | ФИО
                                                    Если это не Вы, нажмите здесь »
                                                    Для восстановления доступа к странице мы вышлем код на номер +7 123 456 78 90.


                                                    В зависимости от ширины канала и кривизны кода, через n-времени мы получаем наиболее полную и правильную базу телефонных номеров, которую можно использовать в своих не интересных целях.

                                                    Если это не является утечкой данных, то тогда чем? С таким же успехом, на Красной площади можно написать «СМС слать сюда»
                                                  +5
                                                  Персона́льные да́нные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу;.

                                                  Но как бы да, теоретически Контакт не является достоверным источником. Фактически же это действительно чувствительные данные.
                                                    +14
                                                    Есть еще другая сторона. Спарсив базу по всем комбинациям телефонных номеров можно узнать, например, телефон Павла Дурова или Саши Грей.
                                                    • UFO just landed and posted this here
                                                        +7
                                                        Обзвонить 20 номеров != обзвонить ~10^9 номеров. А еще можно отсеивать по кодам.
                                                          +1
                                                          там есть официальные аккаунты, прошедшие проверку и обозначеные специальной меткой.
                                                          +2
                                                          ЕМНИП, после объявления «конкурса» про Telegram, номер Дурова открыто висел на странице с описанием… Так зачем себя утруждать?
                                                          • UFO just landed and posted this here
                                                          +11
                                                          Согласно пунктам 4.3, 4.4, 5.1 правил пользования Вконтакте, пользователь соцсети обязан предоставлять при регистрации достоверные и актуальные данные, в числе которых, в том числе — фамилия и имя. Также в правилах прямо указывается, что пользователь обязан поддерживать эти данные в актуальном, достоверном состоянии.
                                                            –10
                                                            Отвечу, как среднестатистический пользователь вконтакта: «И чо?»
                                                              +14
                                                              И то, что это даёт ответ на вопрос:
                                                              Разве это можно назвать утечкой ПД?

                                                              Ответ: да, можно.
                                                                0
                                                                «В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные». Наверняка в соглашении есть пункт с таким согласием.
                                                                  +6
                                                                  В рамках 152-ФЗ требуется письменное согласие, а не галочка в интернете.
                                                                    +2
                                                                    Вконтакте ссылается на пункт 5 части 1 статьи 6 ФЗ № 152, в соответствии с которым согласие субъекта персональных данных на обработку его персональных данных не требуется:
                                                                    5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
                                                                    +1
                                                                    Наверняка в соглашении есть пункт с таким согласием.

                                                                    Я же выше вам дал ссылку на полный текст — лень почитать? Нет там такого пункта. И даже наоборот, есть противоположный по смыслу пункт 4.8:
                                                                    Администрация Сайта принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения. Администрация предоставляет доступ к персональным данным Пользователя только тем работникам, подрядчикам и агентам Администрации, которым эта информация необходима для обеспечения функционирования Сайта и предоставления Услуг Пользователю. … Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях
                                                                    –4
                                                                    Правила контакта — это ничто и юридически и по факту.
                                                                    Да, имея емейл и/или телефон, можно пополнить базу спам-знаний очень неплохо. И это действительно плохая особенность данной фичи контакта.

                                                                    Но это не утечка персональных данных, не надо дезинформировать людей. Персональным данным дана ясная трактовка в законе. Выше я достаточно это обосновал.
                                                                      +6
                                                                      Правила контакта — это ничто и юридически и по факту.

                                                                      Совершенно неверно, это условия пользования сервисом, и опираясь на эти правила Вконтакте не раз выступал в судах (в частности по спорам насчёт пиратского контента), и суд эти правила принимал в качестве довода.

                                                                      Персональным данным дана ясная трактовка в законе

                                                                      Пункт 1, статьи 3 ФЗ № 152-ФЗ:
                                                                      1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);


                                                                      Имя и фамилия, а также номер телефона, которые Вконтакте требует при регистрации, причём требует достоверные и актуальные, а также обязывает пользователя поддерживать их в актуальном состоянии — это персональные данные, полностью соответствующие определению этого термина в законе.

                                                                      Но это не утечка персональных данных, не надо дезинформировать людей

                                                                      Извините, но это как раз вы дезинформируете людей. Это утечка ПД.

                                                                      Выше я достаточно это обосновал.

                                                                      Нет.
                                                              +33
                                                              отпарсить самую большую базу телефонных номеров России и СНГ


                                                              Добавить сюда имя человека в СП и полетят Смсочки:

                                                              Люся, любимая, это Вася, я попал в беду, скинь сотку на этот номер, потом объясню!
                                                              • UFO just landed and posted this here
                                                                  +7
                                                                  А если распарсить граф друзей/родителей — можно вообще адовые схемы проворачивать ;)
                                                                  –38
                                                                  Какой желтый заголовок. Это не дыра.
                                                                    +120
                                                                    Автор, спасибо!

                                                                    С помощью этого способа я узнал, что за козел мне звонил в новогоднюю ночь, оскорблял и настроение испортил!

                                                                    Спасибо! Добра тебе!
                                                                      +3
                                                                      Нечто подобное сейчас пытаюсь найти ;)
                                                                      +6
                                                                      Твоюж мать, можно подумать мне смс спама мало.
                                                                      Пашка, доколе?
                                                                        –7
                                                                        Причем тут смс-спам?
                                                                          0
                                                                          При том, что SMS-спам также использует номера мобильных телефонов.

                                                                          Дык вот мало того, что базу данных с номерами мобильных телефонов можно использовать для SMS-спама, так теперь для неё ещё и вот эдакое употребление нашлось — данные участников социальной сети ВКонтакте собирать.
                                                                            0
                                                                            Вы же понимаете, что для того, что бы использовать «дыру» в данном контексте — надо знать номер телефона?
                                                                            Это равносильно рассылке спама используя номерную емкость с сайта россвязи.
                                                                            А вот то, что данные можно получить по номеру — плохо. Но смс-спам тут не причем, как мне показалось. Дыра не является «катализатором» с началу спама. Вот о чем я написал.
                                                                              +1
                                                                              Эта дыра является катализатором к рассылке таргетированного спама)
                                                                        +3
                                                                        ВК не выдаёт ссылку на профиль страницы, но Гугл поиск по картинке (аватарке) быстро решает эту проблему.
                                                                          +1
                                                                          Если пользоваться массово, то есть шанс что гугл забанит за слишком большое число запросов.
                                                                            +18
                                                                            Маленькая подсказка: в URL фотографии указан id пользователя VK.
                                                                        • UFO just landed and posted this here
                                                                            +7
                                                                            С этой телефонной авторизацией вообще цирк. Вот, расскажу пока свежо (события разворачивались буквально вчера и сегодня). Меня сегодня пол-дня нет-нет да и пробьет на хи-хи, как только вспомню :)

                                                                            Был у меня день рождения, поздравления валились со всех сторон, одно из них пришло ВКонтакте (в который я последний раз логинился уже и не помню когда, наверное как раз год назад, на прошлый ДР, а перед этим — на позапрошлый). Надо поблагодарить человека, кликаю — просит залогиниться (ага, у меня даже куков с того времени не сохранилось). Ввожу пароль — не то, ввожу другой — не то. В общем, забыл пароль. Ладно, думаю, фигня вопрос, как раз для таких случаев умные люди придумали процедуру восстановления по e-mail… Но умные люди и представить не могли, как такую процедуру могли извратить разработчики ВК. Телефона, который был когда-то введен (опять же, в добровольно-принудительном порядке) у меня давно нет — это был рабочий с прошлой работы. И понеслось…

                                                                            1. Есть форма на случай отсутствия доступа к телефону. Старый телефон, новый телефон, старый email (щито?), новый email (щито?), страна регистрации, город регистрации, год регистрации (кто-нибудь помнит?), фото документа (!), фото на фоне страницы восстановления (!!). К этому моменту я уже слегка прифигел, но хрен с вами — очень уж хочется поблагодарить человека за поздравление (и человек хороший, и не пересекались давно). Заполняю, замазываю лишнюю информацию на паспорте, оставляю только имя и фото, отправляю.

                                                                            2. ВК присылает запрос, что им не нравится скан паспорта, а нужно сфотографировать немного сбоку, держа в руке. Я уже конкретно офигеваю, но все еще хочу поблагодарить человека… Фотографирую, снова замазываю все номера и прочую информацию кроме имени и фотографии, отправляю. В качестве комментариев отправляю старый анекдот про перчатки и унитаз. Через полчаса мне приходи в голову идея, какой у меня мог быть пароль, пробую… и он оказывается верным! Отлично, логинюсь и благодарю человека. Подумываю об удалении страницы — нафиг она мне вообще?

                                                                            3. ВК присылает запрос, что им теперь не нравится мое фото на фоне страницы восстановления — недостаточно четкое, видите ли… Тут я окончательно теряю терпение. Пишу ВСЕ, что я думаю об их сервисе, и вместо нового фото присылаю фото «фака» крупным планом. Удаляю свою страницу нафиг (давно уже хотел, да все повода не было, а тут как раз подвернулся).

                                                                            4. Через 2 минуты ВК присылает сообщение, что мой запрос на восстановление пароля одобрен. И вот тут меня пробивает на ржач :))) Для интересующихся — вот скан сообщения, которое я им отправил в ответ на второй запрос, и после которого они одобрили восстановление пароля. Извиняюсь за некоторое количество нецензурных слов, но, как я сказал выше, я высказал ВСЕ, что думаю об их сервисе (кликабельно):
                                                                            image

                                                                            Похоже, «фак» — это магический вконтактовский жест, дающий доступ к секретным уровням…
                                                                            0
                                                                            Было бы куда забавнее если бы наоборот.
                                                                            Аля, вводим ID вконтакта, получаем номер телефона и Дмитрий Анатольевич сразу напрягся.
                                                                              +2
                                                                              Сделайте перебор по номерам телефонов с префиксами российских операторов и получите себе базу вида номер-вконтакт, а там уже ищите кто вам нужен.
                                                                                +1
                                                                                Лжедмитриев бьюсь об заклад, очень много, как и однофамильцев. Тем более, может я и ошибаюсь, но у гос. чиновников едва ли стандартный префикс.

                                                                                Вообще это лишь капля в море, смс-спам и так достал выше крыши, пора каким-нибудь хитрожопым блокиратором незнакомых номеров обзаводится.
                                                                              +1
                                                                              Честно, я не в курсе, потому вопрос — кроме как для первичной регистрации (или привязке, если аккаунт уже существовал на тот момент) и восстановления пароля, номер телефона где-нибудь еще используется? В том плане, что бы воспользоваться «одноразовым» номером/симкартой.
                                                                                +1
                                                                                Для создания приложений и проверки, что это действительно вы зашли с Германии, когда минуту назад были в России
                                                                                  +1
                                                                                  Можно настроить оповещения о сообщениях по СМС.
                                                                                    0
                                                                                    >В том плане, что бы воспользоваться «одноразовым» номером/симкартой.

                                                                                    Потом замучитесь менять номер, когда он (не дай Б-г) вам вдруг понадобится для восстановления пароля
                                                                                    +6
                                                                                    Спасибо! Пробил всю свою телефонную книгу. Особенно уделил внимание неизвестным номерам :)
                                                                                      +1
                                                                                      красотень
                                                                                      одно радует: удаленные аккаунты не находятся (проверил по своему номеру сотового)
                                                                                        +1
                                                                                        Уже вроде пофиксили. Теперь после ввода телефона требуют еще и фамилию.
                                                                                          +4
                                                                                          Надо именно через мобильную версию m.vk.com
                                                                                            +1
                                                                                            Ах да, этот момент я прощелкал… Пардон.
                                                                                          +2
                                                                                          Какой хай был когда утекали БД ОПСОСов и как в полном объеме БД утекать перестали? Сколько лет назад это было?
                                                                                            +3
                                                                                            В начале 00-х это было последний раз.
                                                                                            МТС сменил поставщика биллинга, после чего проблема ушла.
                                                                                            Как поступили другие операторы — не знаю, но больше таких проблем не возникает.
                                                                                            Уж очень серьезные люди были недовольны в своё время.

                                                                                            Вы понимаете, увести базу ОПСОСа снаружи нереально по чисто физическим причинам. Сетевая безопасность там лучше, чем во многих банках. Способ только один: сотрудник ОПСОСа или компании-подрядчика, находясь на площадке ОПСОСа, выполняет select по базе (причем, не по боевой, а по тестовой) и пишет результат на внешний диск. Но USB-порты на компах отключают.
                                                                                              +1
                                                                                              Т.е. скучающий менеджер в салоне «пробить по базе» не может? Ну или по крайней мере не массово?

                                                                                              Тут с другого конца зашли, хотя справедливо что кому надо не стали указывать постоянно действующий номер.
                                                                                                0
                                                                                                Тут еще вопрос, сколько этих самых баз, и как они разделены… У МТС, например, точно разные базы по регионам.
                                                                                                  0
                                                                                                  Может, но есть софт для контроля БД, кто чего запрашивал и какого фига. А при наличии грамотного безопасника или боле продвинутого софта такой вот менеджер сразу попадет на карандаш
                                                                                            • UFO just landed and posted this here
                                                                                                0
                                                                                                Ну это сложнее:
                                                                                                1) пользователь должен установить приложение
                                                                                                2) вы должны прогнать всю базу номеров
                                                                                                3) получите только его друзей.
                                                                                                А тут один номер, почти один контакт.
                                                                                                  +1
                                                                                                  Кто мешает пользуясь API загрузить список сгенерированных по правилам номеров любой длины, а полученный вывод оформить в удобную табличку?
                                                                                                    +1
                                                                                                    Если я правильно понял, вам надо:
                                                                                                    1) Сделать приложение с большим охватом
                                                                                                    2) для каждого пользователя пробить весь список номеров за исключением, быть может, всех уже найденых.
                                                                                                    3) Если у пользователя нет друга установившего ваше приложение вы его номер не получите.
                                                                                                      +3
                                                                                                      Нет, надо просто скормить список номеров, пользователей он вам вернет сам. Там же написано, что апи запрашивает только один параметр телефонной книги — номер, наивно предполагая, что это и правда человек из вашего списка контактов.
                                                                                                        0
                                                                                                        метод доступен только десктопным приложениям — ничего у Вас не выйдет. Если, конечно, реально не сделать приложение с очень большим охватом типа оффициального мессенджера от Вк, а в нем на данный момент всего 7,5 миллионов пользователей. Сомневаюсь, что можно создать что-то мощнее
                                                                                                          0
                                                                                                          Зачем охват? Достаточно самому пройти авторизацию и передать искомый номер в account.importContacts, который вернёт инфу о человеке с этим номером.
                                                                                                +29
                                                                                                Прекрасно, спалил левый аккаунт подруги.
                                                                                                  +21
                                                                                                  Пробил номер, с которого мне угрожали. Забавно-с. :)
                                                                                                    +4
                                                                                                    Нашел несколько неопозннанных контактов. Полезная фича!
                                                                                                      +10
                                                                                                      да, и я тоже узнал кто такие Надя1, Надя2 и т.д.
                                                                                                      • UFO just landed and posted this here
                                                                                                      +14
                                                                                                      Представляю сколько анонимных признаний в любви сейчас раскроется =)
                                                                                                        +10
                                                                                                        Черт, надо было придержать до 14.02
                                                                                                        +1
                                                                                                        Похоже, уже пофикшено. Если поискать подряд несколько номеров, то помимо капчи начинает спрашивать фамилию человека, указанного в профиле, привязанном к данному номеру.
                                                                                                        Конечно, это не спасает от точечного поиска, только от массового сбора данных.
                                                                                                          +3
                                                                                                          А где же остальные ИМХО самые главные пункты 5 и 6 в инструкции? :)

                                                                                                          5. ???????
                                                                                                          6. PROFIT
                                                                                                            +3
                                                                                                            Так вот уже отписались у каждого свой п.5 но у всех PROFIT.
                                                                                                          • UFO just landed and posted this here
                                                                                                              +4
                                                                                                              Похоже больше не получаем имя, только маленькую аватарку в 40 пикселей.
                                                                                                                +4
                                                                                                                Да, закрыли буквально пару минут назад.
                                                                                                                  +3
                                                                                                                  Для поиска по картинкам в гугле достаточно, только что так нашёл владельцев 2-х неизвестных номеров.
                                                                                                                  +4
                                                                                                                  >>Дыра
                                                                                                                  Автор, вы чего? Держите скриншот восстановления аккаунта гугла
                                                                                                                    +3
                                                                                                                    Это где такое? Захожу сюда, при выборе «I don't know my username» и вводе номера телефона предлагают отправить на него сообщение.
                                                                                                                    +3
                                                                                                                    В Facebook выдает имя пользователя по телефону.
                                                                                                                    www.facebook.com/recover/initiate
                                                                                                                    Учитывая, что в VK ник уже не показывает, получил имя из FB и авку из VK.
                                                                                                                      +2
                                                                                                                      Кстати, указанный выше поиск по картинке через поиск Google помогает найти человека и после включения новой защиты, если у него оригинальная аватарка.
                                                                                                                      А одного человека не смог найти, т.к. у него на аватарке стояло растиражированное фото Мерседеса. Т.ч. защита от поиска — ставьте аватарки Чебурашки и т.п. на VK.
                                                                                                                        +3
                                                                                                                        Как выше упоминали, в пути к аватарке есть 3 последние цифры ID пользователя, то есть сначала вы сужаете поиск до аватарки, а потом отбираете того пользователя, у которого последние 3 цифры совпадают с цифрами в пути выданной основным методом автарки.
                                                                                                                          +1
                                                                                                                          Сейчас проверил — нет такого совпадения. Может уже поменяли и тут что-то. Явно кто-то с VK в теме сидит.
                                                                                                                            +3
                                                                                                                            Все еще актуально, брать из урла аватара надо последние 3 цифры во втором блоке, который начинается с буквы v и далее цифрами. Эти три цифры будут последними 3-я цифрами id пользователя.
                                                                                                                              +1
                                                                                                                              Так пересолить URL картинок надо поболее времени потратить, чем поменять шаблон страницы восстановления пароля.
                                                                                                                                +3
                                                                                                                                Выигрывает только казино тот, у кого нет аватарки. Нет аватара — нет урла.
                                                                                                                                  +1
                                                                                                                                  Почему-то попадаются URL такого вида: http://cs<DOMAIN_ID>.vk.com/upload.php?proxy=<loooong string>

                                                                                                                                  Отсюда уже никакой ID не подберешь.
                                                                                                                                    –1
                                                                                                                                    Мне тоже.
                                                                                                                        +2
                                                                                                                        Уважаемые хабровчане, мне кажется или пост ведет себя аномально? Периодически то исчезая, то появляясь в топе. Это особенности системы скоринга, мой локальный глюк или происки ЗОГ?
                                                                                                                          +9
                                                                                                                          Наверно стоит радоваться что он есть вообще. Вчера видел отличный наброс на Билайн, который живо исчез.
                                                                                                                            +2
                                                                                                                            Уже убрали фамилию, поэтому пост наверное останется в топе.
                                                                                                                              +2
                                                                                                                              Это не проблема, по аве через поиск картинок в google прекрасно находится анкета пользователя))
                                                                                                                                +1
                                                                                                                                Если только там не что-нибудь вроде «Моны Лизы».
                                                                                                                                  +2
                                                                                                                                  Если при поиске по картинкам добавить «site:.vk.com», задача может быть значительно облегчена.
                                                                                                                            +1
                                                                                                                            Я аналогичное наблюдаю уже с месяц, если не больше. Когда некоторые посты просто исчезают из ленты при обновлении страницы. Через некоторое время обновишь — они тут как тут.
                                                                                                                            В поддержку писал, но не помогло. Это глюк Хабра, а не ваш локальный.
                                                                                                                            +1
                                                                                                                            У Фэйсбука была похожая уязвимость.
                                                                                                                              +5
                                                                                                                              А почему была? Вроде как сейчас аналогичная ситуация.
                                                                                                                              +1
                                                                                                                              Интересно, все-таки кто-нибудь скачать всю базу успел (и молчит) или нет?
                                                                                                                              +2
                                                                                                                              image
                                                                                                                                +2
                                                                                                                                теперь только аватарку показывает, спалили фичу.
                                                                                                                                  +2
                                                                                                                                  Вот вам ещё «уязвимость» в копилку — скрытый возраст пользователя можно узнать, поиграв с диапазоном возраста в поиске. Скорее всего так же и некоторые другие поля можно узнать.
                                                                                                                                    +8
                                                                                                                                    Нашёл аккаунт бывшей. Узнал ответ на главный вопрос: ушла ли она тогда налево. Ну и зачем я это сделал?
                                                                                                                                      +2
                                                                                                                                      А я обнаружила аккаунт, владелец которого клялся, что удалил страницу в VK.
                                                                                                                                      Спасибо, ВКонтакте, помог снять лапшу с ушей.
                                                                                                                                        +6
                                                                                                                                        Отпусти её, бро
                                                                                                                                          +1
                                                                                                                                          Отпустил давно уже. Просто считал её самой честной девушкой в мире. Это общее разочарование в людях, конкретный человек тут не имеет значения.
                                                                                                                                        +3
                                                                                                                                        Вот вам еще один лайфхак: Добавляем жертву в список контактов. Заходим в WhatsApp и/или Viber. Если человек пользуется этими месенджерами (а армия таких пользователей растет стремительно), то мы можем запросто увидеть фотку человека в неплохом разрешении, а иногда и даже узнать имя.

                                                                                                                                          0
                                                                                                                                          а разве ты не должен быть добавлен в контакты у этого человека?
                                                                                                                                          • UFO just landed and posted this here
                                                                                                                                            0
                                                                                                                                            Добавляем в телефонную книгу — а то «список контактов» не совсем понятно, о чем речь.
                                                                                                                                              +2
                                                                                                                                              Телефонная книга что в Android, что в iOS зовется именно Контакты. Те, у кого стоит WhatsApp или Viber знают, что эти мессенджеры не имеют собственного списка контактов и используют системный. Последовательность действий «добавляем в список контактов -> заходим в whatsapp/viber» явно подразумевает, что мы не запускаем мессенджеры для каких-то манипуляций с контактами, а предварительно добавляем номер телефона в какой-то посторонний список, очевидно, что это системный список контактов.
                                                                                                                                                –1
                                                                                                                                                Так как пост об VK, и там есть контакты, я первым делом подумал, что надо добавить человека там, хотя у меня стоит Viber и я знаю как он работает. Да и вопрос rdntw, мне показалось, того же рода.
                                                                                                                                                  0
                                                                                                                                                  В контакте друзья же, вы что. Какой там список контактов?
                                                                                                                                            +1
                                                                                                                                            мне любопытно, пока все обсуждают что с этим делать, кто-нибудь уже отпарсил? :)
                                                                                                                                            +6
                                                                                                                                            Имя и фамилия уже не отображаются, только аватарка.
                                                                                                                                              +10
                                                                                                                                              вот я слоупок…
                                                                                                                                              +1
                                                                                                                                              Если спарсить такую базу даже в виде «номер и фотография», без имени, то можно уже неплохо повышать конверсии при регистрации в проектах, связанных с мобильной авторизацией/регистрацией.

                                                                                                                                              Представьте себе: регистрируетесь в сервисе, а он сам за вас уже заполнил все поля, не спрашивая ни социальных сетей, ничего кроме номера. Вопросы конечно возникнут в голове (и то не у всех), но все равно приятно :)
                                                                                                                                                +2
                                                                                                                                                Говорят что этой «дыре» уже почти год. Просто сегодня она получила широкую огласку.
                                                                                                                                                  +4
                                                                                                                                                  Долго работала. Весьма удобно было :(
                                                                                                                                                • UFO just landed and posted this here
                                                                                                                                                    +27
                                                                                                                                                    А я нашел кто мне слал СМС вида «Андрюша, я люблю тебя, Ксюшенька» в 2004 году. Оказался чувак знакомый :-)
                                                                                                                                                    Номер ждал своего звездного часа 10 лет в текстовом файлике.
                                                                                                                                                      +3
                                                                                                                                                      О времена, о нравы...)
                                                                                                                                                        +3
                                                                                                                                                        А я не нашел владельца незнакомого мне номера, полгода назад назвавшего меня проказником в смс и предлагавшего «поиграть».
                                                                                                                                                          +3
                                                                                                                                                          Не отчаивайтесь.
                                                                                                                                                          +7
                                                                                                                                                          Я сначала плюсанул, а потом у меня возник вопрос. А оно тебе нужно было? Доволен? Ещё вчера у тебя было приятное воспоминание о тайной поклоннице, а сегодня…
                                                                                                                                                            +1
                                                                                                                                                            Не жил и не живу глупыми надеждами. Да и поклонниц за 10 лет было достаточно. Но гештальт закрылся, да.
                                                                                                                                                              0
                                                                                                                                                              Я про надежды ни про глупые, ни про умные вообще не говорил. Боюсь представить сколько ещё 10 летних висяков у Вас ещё накопилось в ожидании новых технологий. По мне так такие гештальты можно намного быстрее закрывать. Это всё в голове.
                                                                                                                                                            +1
                                                                                                                                                            Сработает, если у чувака давно этот номер. Иначе может иметь место ротация устаревших номеров :-)
                                                                                                                                                            0
                                                                                                                                                            Интересно хоть кто-то нашел таким способом своих пропавших родственников, маму, папу и т.д.
                                                                                                                                                            Был бы красивый PR-ход от ВК представлением такого случая — типа: дыра, да, но так сын нашел свою маму…
                                                                                                                                                            (и музыка из м/ф «Про мамонтенка»)
                                                                                                                                                            • UFO just landed and posted this here
                                                                                                                                                                +2
                                                                                                                                                                А что мешает позвонить по имеющемуся номеру телефона? Или надо обязательно узнать имя-фамилию мамы, папы, брата по номеру телефона?
                                                                                                                                                                +4
                                                                                                                                                                Сначала думал, что информация то не особо критичная. Номера телефонов можно найти и в других источниках. Но если подумать. Имеем номер телефона, соответствующий пользователю вконтактика. По телефонному справочнику находим ФИО и адрес прописки. А дальше, смотря какие базы сможем найти в пиринговых сетях города, где наш пользователь живет. Скорее всего найдем паспортные данные нашего пользователя, информацию о недвижимости, автомобиле, штрафах, возможно кредитную историю, судимости. Еще немного, и мы узнаем все о его родственниках.
                                                                                                                                                                Собственно проблема не в том, что можно получить привязку пользователя Вконтакте к номеру телефона, а в том что сеть полна уже утекших персональных данных и сопоставив их, получаем практически всех пользователей как на ладони. Не всех — только по тому, что имеющиеся в сети данные не первой свежести.
                                                                                                                                                                  +1
                                                                                                                                                                  Мне кажется, или уже всё пофиксили? Сейчас выдаётся только очень маленькая ава, что мало что даёт. Вот если бы id где-нибудь промелькнул…
                                                                                                                                                                    0
                                                                                                                                                                    Аватара мне тоже многое дала — сохранил ее, а потом поискал через поиск картинок в гугле — первая же ссылка вела на аккаунт.
                                                                                                                                                                    –4
                                                                                                                                                                    Кг/ам
                                                                                                                                                                    Это работает как минимум с лета, в API есть метод, чтобы узнать юзера по контактам, в facebook всегда так было и никто не пикнул
                                                                                                                                                                      +4
                                                                                                                                                                      Базой — то поделитесь) Ведь слили уже, полюбому)
                                                                                                                                                                        0
                                                                                                                                                                        Дайте две!
                                                                                                                                                                          0
                                                                                                                                                                          Вот и спамеры спалились.

                                                                                                                                                                          Кстати, автора топика тоже можно поблагодарить за содействие в распространении спама.
                                                                                                                                                                            +1
                                                                                                                                                                            Автор топика взял эту уязвимость из открытых источников, ее популяризация же привела к оперативной реакции владельца ресурса и частичному устранению уязвимости. А спамеры имели информацию об этой и других уязвимостях задолго до появления ее в открытом доступе.
                                                                                                                                                                        –1
                                                                                                                                                                        Что-то нефига не показывает данные — images.vfl.ru/ii/1389849766/43702bc0/3994332.jpg
                                                                                                                                                                          –8
                                                                                                                                                                          Прочитал пост, нашёл свой метод.
                                                                                                                                                                          Открываем m.vk.com, забыли пароль, вводим телефон. Имя не показывает, только фотку-аватарку.
                                                                                                                                                                          Остальное работает если есть аватарка и посты в лентах/стенках.
                                                                                                                                                                          Копируем URL картинки-аватарки и делаем поиск по картинкам в гугле. Гугл предлагает нужный профиль.
                                                                                                                                                                          Так же вариант не работает, если вместо авы какая нибудь массовая картинка.
                                                                                                                                                                            +1
                                                                                                                                                                            не обязательно телефон
                                                                                                                                                                            я так по адресу электронной почты людей искал
                                                                                                                                                                            принцип тот же

                                                                                                                                                                            1. Жмем «Забыли пароль?»
                                                                                                                                                                            2. Вводим e-mail
                                                                                                                                                                            3. Получаем имя и аватар
                                                                                                                                                                              0
                                                                                                                                                                              Не так ценно по произвольной почте узнать человека, как по произвольному номеру телефона.
                                                                                                                                                                              0
                                                                                                                                                                              Пока вы тут болтаете — на том самом сайте уже предлагают за 1000 рублей купить базу на 5 млн. пользователей :)
                                                                                                                                                                                0
                                                                                                                                                                                Эх, жаль только для России.
                                                                                                                                                                                  0
                                                                                                                                                                                  А что за «тот самый сайт»? И, базу скачанную именно из ВКонтакте?
                                                                                                                                                                                –3
                                                                                                                                                                                На самом деле всё еще проще, после получения аватара пользователя идём в Google Images www.google.de/imghp
                                                                                                                                                                                И для многих пользователей получаем ссылку на профиль.
                                                                                                                                                                                  –2
                                                                                                                                                                                  засудить их надо за неполноценную охрану персональный данных. меня бесит, почему я не могу удалить свой аккаунт по запросу, я имею ввиду полностью удалить — все комментарии, все что есть и их базе данных. по закону я имею право это сделать, но по прпавилам контакта я должен отправить им свой паспорт. какого хрена я должен что-то отправлять? если поступил запрос с моего аккаунта, они должны все удалить. быдло
                                                                                                                                                                                    0
                                                                                                                                                                                    Ну попробуйте удалить комментарий здесь на хабре.

                                                                                                                                                                                    А даже если удалите, я уже сохранил его у себя на компьютере!
                                                                                                                                                                                    +1
                                                                                                                                                                                    Дырку закрыли только в мобильной версии сайта, в официальном приложение для телефонов на Android все еще проще, добавляем интересующий нас номер в список контактов, заходим в приложение ВКонтакте и переходим в поиск друзей по списку контактов в телефоне. Вуаля.
                                                                                                                                                                                    Вчера тестировали, все работает на ура.
                                                                                                                                                                                    –1
                                                                                                                                                                                    Чтобы найти страницу ВКонтакте по номеру телефона, можно воспользоватся сервисом:
                                                                                                                                                                                    poisknomera.ru/vk_search.html

                                                                                                                                                                                    100% гарантия нахождения номера даже если страница удалена.
                                                                                                                                                                                      0
                                                                                                                                                                                      Люди, которых волнует состояние их персональных данных не пользуются социальными сетями. И сервисами где надо палить мобильник заодно.
                                                                                                                                                                                        –1
                                                                                                                                                                                        на to4no.ru можно найти страницу в вк по аватарке
                                                                                                                                                                                          0
                                                                                                                                                                                          forum.antichat.ru/threads/422386 и тут можно по номеру телефона определить страницу вк
                                                                                                                                                                                            –2
                                                                                                                                                                                            Было отпарсено достаточно много номеров из ВК и продолжаем парсить. На nomer.me можно заказать пробив номера телефона или найти страницу ВК по номеру и наоборот, по id определить номер телефона.

                                                                                                                                                                                            Only users with full accounts can post comments. Log in, please.