Комментарии 75
Ну и через ввод старого пароля, как минимум, тут он не нужен.
Здесь, конечно, не помешал бы дополнительный канал с пользователем, но его нет. А утерянный телефон или почта это точно не доп. канал подтверждения. Так что тут, я согласен с Instagram. А вот насчет возврата, не все так однозначно. У гугла, вроде, есть превичный емаил, который нельзя сменить или что- то такое.
Достаточно не давать менять почту чаще чем раз в три дня. Поменял почту? Всё, три дня больше менять не можешь. Настоящий владелец сможет откатить до оригинального состояния через специальную ссылку
Это вопрос между тобой и оператором, никакого отношения к сервису не относится, иначе существенно возрастает риск компрометации, разве нет?
Тут хоть обминусуйтесь, если сути не понимаете, но заявлять о том, что номер вам не принадлежит и сетовать на валить все на других,, такое себе. Так решил оператор и ему чхать, что в действительности вы им пользуетесь уже давно.
В телеграме можно отключать активные сеансы по одному,(но не на новых устройствах, что плюс). И всё равно если злоумышленник знает номер, без секретной комбинации 2ФА в аккаунт ему не войти
Без двухфакторки номер телефона в телеге меняется из уже залогиненой сессии без подтверждения. С двухфакторкой не пробовал.
Поменял телефон, получи код на почту, поменял почту, получи смс, вот и все.
В 2020 году даже если злоумышленник попал в ваш аккаунт социальной сети. Неприятно, но не критично.чего-то в тексте не хватает.
Ну, это какая-то борода. Напишите в FB, что вы не исследовали функционал безопасности первичной аутентификации, а ваша работа относится к багу функционала возврата прежних значений email и номера телефона. Это пертинентно только для случая когда угон аккаунта уже произошёл, и злоумышленник поменял эти значения.
Жлобьё, зла не хватает.
По метафоре: вы нашли багу в катапульте, которая делает катапультирование пилота самолёта невозможной. А они говорят "ну, чтобы катапультирование произошло, нужно сильно ушатать самолёт, а входной барьер для этого высокий". Не надо подменять понятия. Пусть отрабатывают по найденной уязвимости, конкретного механизма. Если такие умные, пусть убирают этот функционал, ведь чтобы им воспользоваться, надо потерять контроль над аккаунтом, а входной барьер для этого очень высок.
Спасибо, за отзыв!
Валите загран, нанимаете по всему постсоветскому в регионах отряды (мулов) псевдосммщиков. Отправляете их по всем направлениям бизнеса. Те собирают вам пароли. В этом ничего сложного. Приходишь в любой бизнес сферы услуг. Показываешь интерфейс удаленного доступа на какой-нибудь фришный Амазон с инстасофтом. Как там красивенько на автомате множество аккаунтов крутятся. Получаешь у владельца логин; пароль… И требуете выкуп.
А могли тихонечко работать и зарабатывать. Оно вам надо? Эти багсэндбаунти, ещё и доказывать за эти копейки
Надеюсь, у вас всё получится. Жалко когда честную работу сливают по надуманным поводам. Зато крупнейшее русскоговорящее ИТ-коммьюнити оценило, это тоже чего-то стоит.
А я вот взял за правило — в богомерзкий инстаграмчик без контента не хожу,… Нечего показать — месяцами бывает не открываю.
1) Если человеку надо что-то донести лично для меня, он сделает это напрямую, а не широковещательным образом. Чем более широковещательно, тем менее ценная и нужная для вас информация.
2) Если человеку надо что-то донести до группы людей, в которую я вхожу, то или мне это не нужно, или он это сделает через канал, к которому я подключён.
3) На практике, 99.9% ваших социальных связей не нужны ни вам, ни вы им. А те, кто нужны, имеются в каком-нибудь доступе: от телефона с смсками, до известно общего чата. В Ig/Fb/Wa не упёрлось. Так и живём.
Социальные связи нынче очень дешевые в плане их ценности, если смотреть на каждый день.
Но я вёл целенаправленную компанию среди людей по переходу из Wa в Tg, потому что Wa — абсолютно конченное говно (было на тот момент) в техническом плане. И остаётся оным с точки зрения спама и прочей ерунды и некоторых технических решений, которые могли придти в голову только идиоту от технологий. И в бизнесе Wa бесполезен. И отношение Wa к разработчикам не выдерживает никакой критики. Так что он идёт лесом.
Что-то вы какой то подозрительный, не будем ка его удалять — подумал ФБ после этого комментария...
Я дважды восстанавливал доступ к протонмейлу(!), один раз забыв пароль, другой раз — логин(!!!), притом что оба раза еще и не привязывал запасного мейла для восстановления. Ничего, разобрались, привязали. Это я к тому, что у инсты наверное еще меньше заморочек по поводу восстановления аккаунта, чем у почтового сервиса, пиарящего себя как самый забезопашенный.
Меня другое забавляет, коллега как-то восстанавливал угнанный инстаграм, где уже успели все стереть и наложить каких-то своих спамерских фоток. Ему пришлось по одной фотке за раз все это дерьмо вычищать. Напомнило мне ВКонтакте года так до 2010-го, когда была мода вайпать группы сотней альбомов с разноцветным Онотоле, а нормальной админки еще не было, и вот так же надо было все ковырять вручную вместо отката.
Оказалось, аккаунт-то был мой, но переименованный. Восстановить-то я его восстановил, но осадочек остался…
Пользовался этим для онлайн-игрушек, пока время на них было, поэтому не обращался в поддержку. Сейчас хотел пруфануть, но уже запретили так делать, на старый не попадает, напоминает, что пароль другой.
В целом инстаграм это одна большая дыра в безопастности, у меня угоняли аккаунта, притом все что я получил, это набор писем, и возможность возврата аккаунта только через тех подержку, в течении 14 дней, куда им нужно было отослать фото, для того чтобы они сравнили с теми фото что были моём аккаунте до момента пока его не отчистили.
И инстаграм не посчитал подозрительным что был изменен емел, пароль, номер телефона, имя в акаунте, дескрипшен в акаунте, аватар, и удалены все фотографии.
Не беда когда это маленький личный аккаунт, но часто угоняют аккаунта с 50к+ подписчиков, и ничего, люди просто заводят новый, и начинают все сначала, так как добиться правды, очень сложно.
Facebook живет немного в своём странном мире. Несколько лет назад на сообщение о возможном перехвате данных они мне ответили, что это требует возможность перехвата трафика, а поэтому крайне маловероятно и неопасно. Ну да, конечно. Но при этом они абсолютно спокойно могут заплатить много денег за крайне малозначительную запись информации в лог, так как формально это подпадает под их программу.
Уже больше года несколько раз в неделю мне на почту приходят письма о проблеме со входом в эаккаунт — у меня пытаются украсть четырех значный ник тупым подбором ) "Хакеры" даже выходили на связь и предлагали четырех значную сумму в долларх в обмен на аккаунт, вот интересно, если согласиться, есть безопасные способы провернуть сделку?
Т.е. при смене емейла и телефона через веб-версию не надо вводить пароль? Если так, это дно.
Категорически не согласна с ответом Инстаграма. Как мне кажется, у "обычных" людей (т.е. не блогеров с многотысячной аудиторией, не звёзд и т.д.) чаще всего пытаются увести аккаунт не какие-то абстрактные хакеры, а их знакомые — ревнивые партнёры, бывшие, разные недоброжелатели. И у них как раз дофига возможностей получить доступ к почте/номеру телефона и самому телефону. У меня у самой лет 5 назад увели акк, который восстановить я так и не смогла. Точно не помню ответ техподдержки, но что-то вроде того, что на мою настоящую почту у них ничего и не было зарегистрировано)) Вижу, что за столько лет у них ничего не изменилось в плане безопасности.
«Особенность» Instagram