Потенциально до 1 миллиона «живых» аккаунтов VK.com оказалось скомпрометировано злоумышленниками

    image«Лаборатория Касперского» заявила, что обнаружила масштабную аферу по хищению учетных данных пользователей «ВКонтакте» через приложение для проигрывания музыки. Жертвами хакеров, по данным компании, могли стать сотни тысяч человек, говорится в сообщении на сайте компании.

    Для хищения информации использовалось приложение для прослушивания музыки под названием «Музыка ВКонтакте». Жертвы скачивали его из официального магазина Google Play, где собрано программное обеспечение (ПО) для Android-устройств. По грубым оценкам «Лаборатории Касперского», число пострадавших может исчисляться сотнями тысяч.

    Кража данных происходила после того, как пользователь авторизовался в приложении, то есть вводил свои логин и пароль, установленные для доступа в свой аккаунт «ВКонтакте». Примечательно, что злоумышленники проверяли подлинность этих данных, отправляя их на легитимный сервер аутентификации oauth.vk.com, отмечают в «Касперском», а пользователи не догадывались о вредоносности программы, поскольку она справлялась со своей заявленной функцией — проигрывала аудиозаписи из «ВКонтакте».

    Впоследствии злоумышленники чаще всего использовали украденные сведения для добавления аккаунтов пользователей в различные сообщества, которые собирались «раскручивать» в социальной сети. Однако в ряде случаев похитители просто меняли пароль, присваивая себе учетную запись.

    Пресс-секретарь соцсети Георгий Лобушкин заявил, что пользователи «ВКонтакте», столкнувшиеся с хищением информации через приложение для проигрывания музыки, фактически добровольно отдали мошенникам свои данные.

    Пользователям ВКонтакте, использовавшим сторонние приложения, рекомендуется в срочном порядке сменить пароли и активировать двухфакторную аутентификацию.

    UPD
    fuCtor:
    Для приложений не поддерживающих двухфакторку есть возможность генерации пароля (мои настройки -> безопасность -> настроить пароли приложений), который потом при необходимости можно удалить
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 39

      –1
      Двухфакторная аутентификация не поможет от по-сути MiTM атаки. Пользователи как отдавали пароль, так отдадут и код из смс.
        –14
        Двухфакторная аутенфикация вообще никогда не поможет, если человек использует парольный менеджер.
          +1
          Chikey, чем вам не угодил парольный менеджер?

          Например
          Лично я использую Password Safe. Посмотрел прямо сейчас — у меня там 399 записей. Насколько я знаю, для шифрования контейнера используется AES. В итоге у меня один большой и сложный пароль от контейнера, а остальные пароли я в основном даже не знаю, так как они генерируются в самом приложении. Самое главное — у меня все пароли разные. И когда утечет мой пароль с условного vk.com, аккаунт от gmail не пострадает.


          Конечно, когда пользователь не думает куда он вводит учетные данные, его ничто не защитит. Но, отвлекаясь от данного примера, разве второй фактор не спасает в большинстве случаев при компрометации стандартного пароля? Ну например, кто-то подсмотрел ваш пароль или получил через keylogger или достал из менеджера паролей. Этот человек не сможет им воспользоваться без второго фактора, например, СМС или аппаратного OTP-генератора.
            0
            Я помоему четко сказал если человек уже использует парольный менеджер то ТОТП или СМС в большинстве случаев никак не помогают в модели атаки. Минусуют ламеры не умеющие думать своей головой. Более подробно писал тут sakurity.com/blog/2015/07/18/2fa.html
              +4
              Думаю, что вас минусуют потому, что ваше сообщение двусмысленно.
              Скорее всего я как и минусующие(справедливости ради замечу, что я не минусовал) прочитал так: «Если вы используете парольный менеджер, то все уже настолько плохо, что никакой второй фактор вас не спасет.»
              После прочтения вашего топика на sakurity стало понятно, что вы имели в виду: «Если вы используете парольный менеджер, то двухфакторка не добавит вэлью».
              С общей мыслью неэффективности 2FA не согласен. Если есть способы завладеть вторым фактором, это не отменяет того, что наличие второго фактора затрудняет задачу злоумышленника.
                0
                Понятно что затрудняет. Вопрос насколько? На 5 процентов? Потому что всего то требуется выудить с помощью попапа еще один код и дальше делать что угодно. По сути security through obscurity
                  0
                  Если говорить про конкретный случай, описанный в топике, то пользователям, которые вводят пароли в непонятные приложения мало что поможет. Музыку то послушать очень хочется, а тут хорошие люди такое приложение удобное сделали. Ну как им не доверить свой пароль?
                  Проблема данного примера в том, что пользователи не понимают, что нельзя всем раздавать ключи от своей квартиры.
                  А в целом по теме 2fa: Многофакторная аутентификация бывает разная и не везде преусмотрена защита от глупостей пользователя. Но даже одноразовые пароли успешно защищают от большого количества типов атак на парольные аккаунты.
                    0
                    Мой коммент не имел отношения к теме поста а просто уточнение. Одноразовые пароли не защищают от атак на пользователей использующих парольные менеджеры. В лучшем случае сокращают время эксплуатации.
                      0
                      Пароль могут утащить с компьютера пользователя, а seed и counter таким образом скомпрометировать нельзя.
                      Злоумышленник может попытаться сбросить пароль жертвы через восстановление пароля.
                      Ну и да, время эксплуатации скомпрометированной учетной записи сокращается: для каждого платежа в интернет-банке потребуется еще один OTP.
                        0
                        Если сервис взломан то можно фишингом зарпосить еще один OTP. Но что главное у OTP нет бэкапа и это создает доп неудобство.
          –1
          Этот совет только для одумавшихся и понявших жизнь, чтобы компенсировать ошибки прошлого.
          –12
          Кто первый?

          http://xn-----6kcaclwmxecbtto1bujcjc4f0eta.xn--p1ai/ap/admin.php
          • UFO just landed and posted this here
            +1
            Чем не устраивает стандартное вк приложение? Там же можно музыку слушать…
              +3
              Не знаю точно как под андроид, но под iOS убрали прослушку музыки с офф приложения, а до этого как минимум не было кэша, каждый раз дергал с интернета. Новость конечно про приложение под андроид, но может такие же были причины выбирать стороннее приложение для прослушки музыки
                0
                Под андроидом пока еще можно.
                Скорее всего людям не хватило стандартной функциональности приложения.
                  +9
                  Откуда вообще уверенность что они подозревают о существовании официального приложения? Я регулярно вижу как гуглят не-гики, они совершенно не различают «официальные» и какие-то другие сайты/приложения и выбирают исключительно по красоте иконки и забавности названия
                    +9
                    Плюсую предыдущему оратору, таже ситуация и с дровами, вот спрашивается почему люди не идут на официальные сайты за драйверами для их принтеров, видях, и прочего? Я еще понимаю с варезом… но когда наблюдал картину как местный офисный планктон качает с непонятного сайта непонятную сборку гуглхрома только потому что она оказалась первой в выдаче поисковика ( не гугл) встает вопрос о психическом здоровье этих людей.
                      0
                      Всё просто. На официальных сайтах бывает очень сложно их найти, т.к. спрятаны где-нибудь в Сервис -> Поддержка -> выберите продукт -> выберете ОС -> выберете ещё что-нибудь -> а теперь среди кучи всего попробуйте найти то, что нужно.
                      А про поиск на сайте догадываются не все. Плюс он не всегда там адекватно работает
                      Поэтому «простым» пользователям проще загуглить «скачать драйвер ...» и поставить трояна на свой ПК
                        0
                        Посему — всем своим родственикам, коих парк ПК мне приходится поддерживать добровольно принудительно, выдаю запрет в политиках на доступ к установке драйверов и по, лучше уж отвлекусь после работы, по удаленке поставлю, что требуется, чем потом приехать в гости и просидеть пол дня вычищая зловредов из всех щелей. А куда можно впаиваю ubuntu, бабушке какая разница из чего с внуком созваниваться и в однокласниках висеть, а так как зловредов под десктопные *nix несравнимо меньше чем под окна, так хоть безопаснее. Но вот затю после очередного полного вычищения ПК со сносом ОС ( ох не хотел этого делать, но пришлось) поставил фриз на системы диск. Кстати о фризе — спасибо кейсу на хабре 2012 года по моему, полезная штука хоть и загрузка дольше.
                  +1
                  Интересно, iOS версия также действовала?
                    –1
                    Тот же вопрос. Буквально неделю назад скачал его, посмотрел на предложение ввести логино-пароли от вк или просто зарегистрироваться и пользовать просто поиск музыки, и удалил… смотрел на него, смотрел. Долго боролся между «да пофиг, у меня двуфакторная, да и криворуких разрабов которые не умеют дружить между собой кучу чужих криворуких апи бывает много, сам часто такой же, и вообще официальный же шоп эпловский», но зануда победил, я его снес и поставил другой известный музыкальный сервис, который с контактом не коннектится…
                  • UFO just landed and posted this here
                      0
                      Под iOs можно сделать прослушивание музыки, есть для этого простой хак
                        0
                        И какой же?
                        vk.com/audio в адресной строке открывает страницу в Safari.
                      +2
                      Это приложение позволяло не только слушать, но и скачивать музыку на девайс. Тоже пользовался им однажды – отсутствие нормального oauth входа тогда очень смутило, но положительные отзывы и желание поставить любимую мелодию на рингтон возобладали над здравым смыслом. Правда было это уже больше года назад. Возможно тогда данных ещё не собирали :)
                        0
                        Собирали. Вспоминаю, что для залогивания тоже удивился отсутствию oauth и невозможности использовать акк с двухэтапной аутентификацией. Пришлось отключить конкретно для залогивания там двухфакторную, а потом опять включать. Кстати, время от времени контакт потом предупреждал, что кто-то пытался зайти в аккаунт, но у него не получилось за незнанием второго временного кода. Айпишники все были Украинские.

                        Потом начал юзать Яндекс.Музыку и удалил.
                          +2
                          Для приложений не поддерживающих двухфакторку есть возможность генерации пароля (мои настройки -> безопасность -> настроить пароли приложений), который потом при необходимости можно удалить.
                          0
                          Как оно выглядело хоть?
                            0
                            Вот такое окно всплывает ВК, но само и уплывает через пару секунд.

                        +14
                        А как же антивирус Cezurity? Неужели не помог?)))
                          +4
                          Наверно продукты Касперского любили бы больше, если бы в их информационных сообщениях было меньше пиара, а больше полезной информации. Я прошёл по всем их ссылкам по этой теме, но найти инфы о том, что же это за приложение (кто издатель, версии, точное название) так и не смог. Подобных приложений на маркете с десяток. Так и чешутся руки поставить их антивирус и «решить все проблемы».
                          • UFO just landed and posted this here
                            0
                            На самом деле пиар Касперского, причем совсем не самый белый. Что приложение производило аутентификацию через свою форму еще не говорит о «злонамеренности» разработчкиов. Это может говорить просто о том что им было удобней сделать именно так (например потому как токен аутентификации ВК для приложений действителен только СУТКИ, и человеку пришлось бы иначе каждый день заново вводить пароль чтобы послушать музыку). Но откуда это знать в Лаборатории Касперского-то? Главное ведь громко крикнуть, да? Конечно кривовато и плохо пахнет, но кричать о том что разработчики преступники (а именно это вытекает из заголовка и содержания статьи) мягко говоря не корректно.

                            А приложением этим на iOS пользовалось действительно уйма народу, но вроде как нет сотни тысяч жалоб о какой-то подозрительной активности с их аккаунтов. Вобщем плохо пахнет господа :-/ Зачем же так людей-то пугать на ровном месте…
                              0
                              Почему сутки и почему вводить заново? В Вк, если не ошибаюсь, тоже есть параметр «offline» и эндпоинт для обновления токена. Так что будет вылетать юзер из аккаунта или нет — зависит только от разработчика
                                0
                                Не видел я в ВК этого и не нашел сейчас, посмотрев документацию, хотя возможно оно и есть и у меня французская болезнь «непашарам». Но вроде как нет, киньте ссылкой, если можно.

                                И дело не в том есть или нет такая возможность, у меня претензия именно к содержанию статьи и ее заголовку. Намного тактичней было бы написать — «Лабаработрия Касперского нашла кривое приложения для iOS». Но согласитесь, это было бы просто смешно ;)))

                                Вместо этого используется весьма сомнительный пиар… :-/ По-сути авторов очень популярного приложения обвинили в зловредных действиях, хотя у них может даже и близко помыслов таких не было.
                                  0
                                  vk.com/dev/permissions и листайте в самый низ:

                                  offline — Доступ к API в любое время со стороннего сервера (при использовании этой опции параметр expires_in, возвращаемый вместе с access_token, содержит 0 — токен бессрочный).
                                    0
                                    Ага, сенкс! Непашарам…
                                0
                                Вот идем сюда и там подробно читаем и смотрим скриншоты. Мало так данных — потому что приложение менялось постоянно, а самую популярную как раз заскринили и показали — тех данных вполне достаточно, вот на скриншоте все видно — все данные на нем есть, включая имя пакета.

                                А то, что нет полного списка с md5 — это уже вопрос доброй воли, не все антивирусы и на на все темы прилагают такую табличку.

                              Only users with full accounts can post comments. Log in, please.