Как стать автором
Обновить

Комментарии 75

Человек, возможно, меняет телефон или почту, если у него нет доступа к старому телефону или почте. И если слать пуш уведомления на недоступный пользователю телефон или почту, то как сам пользователь может их сменить?
Как и во всех других приложениях, через тех. поддержку, например.
Ну и через ввод старого пароля, как минимум, тут он не нужен.
Я намекал, что большая часть смен — это утеря телефона или почты. А вы предлагаете это все через техподдержку проводить? Ну это не серьезно.
Здесь, конечно, не помешал бы дополнительный канал с пользователем, но его нет. А утерянный телефон или почта это точно не доп. канал подтверждения. Так что тут, я согласен с Instagram. А вот насчет возврата, не все так однозначно. У гугла, вроде, есть превичный емаил, который нельзя сменить или что- то такое.
Ну хотя бы пароль вводить при смене нужно ведь)
На днях менял у гугла первичный и единственный email.

Достаточно не давать менять почту чаще чем раз в три дня. Поменял почту? Всё, три дня больше менять не можешь. Настоящий владелец сможет откатить до оригинального состояния через специальную ссылку

Отличная идея)
А как с телеграмом: пролюбил симку — прощай аккаунт.
Переходите на Вайбер, там другая крайность: при входе с другого устройства на Андроиде, вас выбрасывает из первого устройства, и на втором у вас чистый лист без истории переписки и даже без контактов… А RTFM обычно начинают только после того, как всё пропало…
Но если вернуться назад, то всё вернется ведь? В WhatsApp так, например

Неа, что пропало — то пропало.
Только если настроены бэкапы в гугл драйв, то с потерей 1-2 дней можно восстановить. Ах да, картинки? Забудьте.

А у меня почему-то всё удалилось, хотя с другого устройства не заходил...

в любом отделении оператора сотовой связи бесплатно выдают новую симку с твоим номером, по предъявлении паспорта, конечно.
НЛО прилетело и опубликовало эту надпись здесь
слушай, это проблема конкретно твоя. Ты же наверное знал и понимал это, но ничего при этом не сделал, зато зарегистрировался на том или ином сервисе через симку, которая тебе не принадлежит.
Это вопрос между тобой и оператором, никакого отношения к сервису не относится, иначе существенно возрастает риск компрометации, разве нет?
НЛО прилетело и опубликовало эту надпись здесь
Так дело в том, что заставляют регистрироваться через симку! Я бы с радостью использовал PGP, но выбора мне не оставляют.
наверное тогда есть смысл отказаться от их услуг. Я их не защищаю. Просто я не понимаю тех, кто жалуется, что мол номер не на него и за все это время не удосужится решить эту проблему с оператором связи.
Тут хоть обминусуйтесь, если сути не понимаете, но заявлять о том, что номер вам не принадлежит и сетовать на валить все на других,, такое себе. Так решил оператор и ему чхать, что в действительности вы им пользуетесь уже давно.
НЛО прилетело и опубликовало эту надпись здесь
Как-то пытался я в Екб восстановить симку МТС, купленную в СПб. В любом отделении оператора мне отвечали «вот где открывали, туда и идите».

В телеграме можно отключать активные сеансы по одному,(но не на новых устройствах, что плюс). И всё равно если злоумышленник знает номер, без секретной комбинации 2ФА в аккаунт ему не войти

Без двухфакторки номер телефона в телеге меняется из уже залогиненой сессии без подтверждения. С двухфакторкой не пробовал.

Смена телефона — запрос подтверждения на почту. Смена почты — запрос на телефон. Маловероятно, что одновременно утеряно будет и то, и то. А если так, то через поддержку.
Смысл 2FA пропадает, если злоумышленник, завладевший одним из факторов, может безо всяких препятствий заменить второй фактор своим.
Если включена 2FA, тогда нужно подтверждать любые действия кодом из 2FA, само собой. Если 2FA через симку, а не приложение, и человек хочет сменить телефон для 2FA в связи с утерей, или что-то такое, то только через поддержку.
Вполне вероятно если потерялся телефон, а на почте тоже 2фа. В этом случае если почта не осталась открытой на другом устройстве — в неё тоже будет не войти.
Обычно даётся время на откат изменения. Т.е. меняем телефон, на старый сразу сваливается смс о смене и даётся время откатить, день-два.
Если взять в пример ВК, то там при смене номера, если он утерян, ставится недельный таймер и отсылается куча уведомлений (почта, пуш, сам номер). Да и в принципе, как бы к ВК все не относились, такие вещи там гораздо лучше проработаны, а уведомления на любой чих — нормальная практика.
Именно
такие вещи там гораздо лучше проработаны
Вы ещё помните времена, когда ваш пароль напоминали вам на почту открытым текстом? Вы думаете, с тех пор они точно надежно зашифровали пароли?

Поменял телефон, получи код на почту, поменял почту, получи смс, вот и все.

если честно, прямо не сказано, что они не будут это править. сказано лишь, что вы не можете претендовать на награду. имхо, вся последующая аргументация направлена на обоснование этой позиции. а будут исправлять или нет — тут нужно учитывать огромную матрицу возможных use-case-ов, которая есть только у них
Надеюсь, что все же поправят.
В 2020 году даже если злоумышленник попал в ваш аккаунт социальной сети. Неприятно, но не критично.
чего-то в тексте не хватает.
Ага, старая версия в анонсе осталась, спасибо.
НЛО прилетело и опубликовало эту надпись здесь
Сапорт разберется, это единственное средство, а ссылкам можно «продлевать» блокировку по этому же алгоритму.

Ну, это какая-то борода. Напишите в FB, что вы не исследовали функционал безопасности первичной аутентификации, а ваша работа относится к багу функционала возврата прежних значений email и номера телефона. Это пертинентно только для случая когда угон аккаунта уже произошёл, и злоумышленник поменял эти значения.
Жлобьё, зла не хватает.


По метафоре: вы нашли багу в катапульте, которая делает катапультирование пилота самолёта невозможной. А они говорят "ну, чтобы катапультирование произошло, нужно сильно ушатать самолёт, а входной барьер для этого высокий". Не надо подменять понятия. Пусть отрабатывают по найденной уязвимости, конкретного механизма. Если такие умные, пусть убирают этот функционал, ведь чтобы им воспользоваться, надо потерять контроль над аккаунтом, а входной барьер для этого очень высок.

Так я им вроде бы это и пытался объяснить, наверное, попробую еще раз, может не поняли.
Спасибо, за отзыв!

Валите загран, нанимаете по всему постсоветскому в регионах отряды (мулов) псевдосммщиков. Отправляете их по всем направлениям бизнеса. Те собирают вам пароли. В этом ничего сложного. Приходишь в любой бизнес сферы услуг. Показываешь интерфейс удаленного доступа на какой-нибудь фришный Амазон с инстасофтом. Как там красивенько на автомате множество аккаунтов крутятся. Получаешь у владельца логин; пароль… И требуете выкуп.
А могли тихонечко работать и зарабатывать. Оно вам надо? Эти багсэндбаунти, ещё и доказывать за эти копейки

Да я за идею больше, всегда ожидаю, что за логические баги ничего не выплатят)

Надеюсь, у вас всё получится. Жалко когда честную работу сливают по надуманным поводам. Зато крупнейшее русскоговорящее ИТ-коммьюнити оценило, это тоже чего-то стоит.

На следующей неделе истекут 30 дней с момента безвозвратного удаления моих аккаунтов из Ig и Fb. Как бы ещё избавиться от богомерзкого Wa?
Сами удалили, или facebook удалил вам?
Сам, конечно.
И как вам без инстаграма? Просто многие сейчас там, а не имея там учетной записи особо ничего и не посмотришь.
А там нечего смотреть. И тем более читать. Если это что-то действительно важное (sic!), то перепечатают, а источник проверят другие люди.

А я вот взял за правило — в богомерзкий инстаграмчик без контента не хожу,… Нечего показать — месяцами бывает не открываю.

НЛО прилетело и опубликовало эту надпись здесь
почему их, ваши? Ибо многие фото нигде, кроме инстаграма не выкладывают, и как посмотреть, если надо?
НЛО прилетело и опубликовало эту надпись здесь
Я тоже придерживаюсь такой политики.

1) Если человеку надо что-то донести лично для меня, он сделает это напрямую, а не широковещательным образом. Чем более широковещательно, тем менее ценная и нужная для вас информация.
2) Если человеку надо что-то донести до группы людей, в которую я вхожу, то или мне это не нужно, или он это сделает через канал, к которому я подключён.
3) На практике, 99.9% ваших социальных связей не нужны ни вам, ни вы им. А те, кто нужны, имеются в каком-нибудь доступе: от телефона с смсками, до известно общего чата. В Ig/Fb/Wa не упёрлось. Так и живём.
2) Если вам надо что-то донести до группы людей, в которую вы входите, или выяснить у этой группы людей, — то вы обзвоните их всех по одному?
Если есть группа людей, в которую я вхожу, с огромной долей вероятности, у неё есть общий чатик в Tg. Или по частям. Или лично, да. Не так сложно пнуть десяток человек. Как вариант, попросить кого-то, кто в контакте с другими, пнуть их.
Социальные связи нынче очень дешевые в плане их ценности, если смотреть на каждый день.
Вне СНГ Tg до сих пор не достиг того же проникновения, как Ig/Fb/Wa, и «общий чатик» в 99% случаев будет там.
Все мои основные контакты или уже были в Tg и общие чатики именно там, или резко перешли в него на прошлой неделе. Осталось пара человек, но в целом, его уже можно сносить, потому что с ними общение редкое, можно по телефону/лично. Так что, здравствуй, 1%!
Но я вёл целенаправленную компанию среди людей по переходу из Wa в Tg, потому что Wa — абсолютно конченное говно (было на тот момент) в техническом плане. И остаётся оным с точки зрения спама и прочей ерунды и некоторых технических решений, которые могли придти в голову только идиоту от технологий. И в бизнесе Wa бесполезен. И отношение Wa к разработчикам не выдерживает никакой критики. Так что он идёт лесом.
НЛО прилетело и опубликовало эту надпись здесь

Что-то вы какой то подозрительный, не будем ка его удалять — подумал ФБ после этого комментария...

Слушайте, ну ведь реально такие проблемы решаются сапортом, сколько бы там ни дудосили итерациями по восстановлению емейла на очередной емейл злоумышленника.
Я дважды восстанавливал доступ к протонмейлу(!), один раз забыв пароль, другой раз — логин(!!!), притом что оба раза еще и не привязывал запасного мейла для восстановления. Ничего, разобрались, привязали. Это я к тому, что у инсты наверное еще меньше заморочек по поводу восстановления аккаунта, чем у почтового сервиса, пиарящего себя как самый забезопашенный.
Меня другое забавляет, коллега как-то восстанавливал угнанный инстаграм, где уже успели все стереть и наложить каких-то своих спамерских фоток. Ему пришлось по одной фотке за раз все это дерьмо вычищать. Напомнило мне ВКонтакте года так до 2010-го, когда была мода вайпать группы сотней альбомов с разноцветным Онотоле, а нормальной админки еще не было, и вот так же надо было все ковырять вручную вместо отката.
Злоумышленник может начать этот процесс первым — написать с evil1@, что некто evil2@ угнал у него аккаунт, и так раз сто с разных адресов. И к тому моменту, когда прежний владелец аккаунта проснётся и попытается что-то сделать, то окажется, что квота на запросы восстановления доступа к этому аккаунту в поддержку закончилась.
Маленькие квоты на пару дней на каждый уникальный адрес, с повышенным вниманием к первым итерациям, тогда владелец тоже сможет вставить свои 5 копеек.
В инстаграме есть еще возможность сменить сам логин. Я так и попался: мне пришло письмо о восстановлении доступа к какому-то левому аккаунту, я подумал, что кто-то по ошибке мою почту ввел и нажал Что-то Не То.
Оказалось, аккаунт-то был мой, но переименованный. Восстановить-то я его восстановил, но осадочек остался…
Обычно просят игнорировать, если аккаунт не ваш и вы ничего не делали.
У фейсбука вообще странная политика. В 2010-2012 регистрировал ФБ, забыл пароль, в 2015 сумел на тот же телефон создать другой аккаунт. В итоге, когда подобрал старый пароль, попадал на старый аккаунт, а при вводе нового — на новый :)
Пользовался этим для онлайн-игрушек, пока время на них было, поэтому не обращался в поддержку. Сейчас хотел пруфануть, но уже запретили так делать, на старый не попадает, напоминает, что пароль другой.

В целом инстаграм это одна большая дыра в безопастности, у меня угоняли аккаунта, притом все что я получил, это набор писем, и возможность возврата аккаунта только через тех подержку, в течении 14 дней, куда им нужно было отослать фото, для того чтобы они сравнили с теми фото что были моём аккаунте до момента пока его не отчистили.
И инстаграм не посчитал подозрительным что был изменен емел, пароль, номер телефона, имя в акаунте, дескрипшен в акаунте, аватар, и удалены все фотографии.
Не беда когда это маленький личный аккаунт, но часто угоняют аккаунта с 50к+ подписчиков, и ничего, люди просто заводят новый, и начинают все сначала, так как добиться правды, очень сложно.

Ого даже так? Думал техподдержка миллиардной социальной сети работает лучше.

Она работает очень плохо, и даже не меняет своего отношения в зависимости от количества подписчиков. Хотя для многих инстраграм аккаунт это уже способ заработка.

Facebook живет немного в своём странном мире. Несколько лет назад на сообщение о возможном перехвате данных они мне ответили, что это требует возможность перехвата трафика, а поэтому крайне маловероятно и неопасно. Ну да, конечно. Но при этом они абсолютно спокойно могут заплатить много денег за крайне малозначительную запись информации в лог, так как формально это подпадает под их программу.

Уже больше года несколько раз в неделю мне на почту приходят письма о проблеме со входом в эаккаунт — у меня пытаются украсть четырех значный ник тупым подбором ) "Хакеры" даже выходили на связь и предлагали четырех значную сумму в долларх в обмен на аккаунт, вот интересно, если согласиться, есть безопасные способы провернуть сделку?

Гарант)
если согласиться, есть безопасные способы провернуть сделку?

Не соглашайтесь, у моего друга так увели аккаунт и ничего не заплатили. Там есть какая-то хитрая схема, когда меняешь юзернейм через веб-версию, то он не даёт потом доступ вернуть.

Т.е. при смене емейла и телефона через веб-версию не надо вводить пароль? Если так, это дно.

Нет, не нужно, в это и проблема.

Категорически не согласна с ответом Инстаграма. Как мне кажется, у "обычных" людей (т.е. не блогеров с многотысячной аудиторией, не звёзд и т.д.) чаще всего пытаются увести аккаунт не какие-то абстрактные хакеры, а их знакомые — ревнивые партнёры, бывшие, разные недоброжелатели. И у них как раз дофига возможностей получить доступ к почте/номеру телефона и самому телефону. У меня у самой лет 5 назад увели акк, который восстановить я так и не смогла. Точно не помню ответ техподдержки, но что-то вроде того, что на мою настоящую почту у них ничего и не было зарегистрировано)) Вижу, что за столько лет у них ничего не изменилось в плане безопасности.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории