Как стать автором
Обновить

VK Protect: реформа системы информационной безопасности и запуск обновлённой программы защиты данных пользователей

Время на прочтение2 мин
Количество просмотров4.4K
Всего голосов 22: ↑11 и ↓11+12
Комментарии13

Комментарии 13

VK? Безопастность? }{@бр ? Мне кажется вы ошиблись...

Это вообще всегда иронично, когда рассказывают про невероятную защиту данных и просто игнорируют едва ли не самый безопасный метод для 2FA.

зачем менять пароль раз в год?

он в базах в открытом виде и может утечь?

Чот наверное нет, Алишер Бурх… нет, стоп — кто там теперь? Киндервунд Сергеевич?

Со встроенным товарищем майором, зорко следящим за безопасностью

прямо вчера взломали близкого человека. один из вариантов: через авторизацию на https://pruffme.com/ с помощью вк id. Опишу что случилось:

  1. взломщик шлет одинаковое сообщение всему списку друзей. действие нестандартное,

  2. пока добираюсь до привязанного телефона прошу всех знакомых пометить аккаунт как "спам", срабатывает где-то через час.

  3. К тому времени, когда добираюсь до телефона, аккаунт вк забанен. Восстанавливаю с помощью телефона.

  4. В vk id вижу список устройств: их 6 штук. Взломщик явно использует какую-то автоматизацию, т.к. моей скорости пользователя явно не хватает. Жму "завершить все сессии кроме этой" и меня разлогинивает. В устройствах такие записи, как "Город, Chrome", т.е. такие же записи, как и мои. Похоже, что взломщик использует прокси и подмену user-agent.

  5. Очень часто при переходе по ссылкам внутри vk id оказывается пустая страница.

  6. Меняю браузер на FF, взломщик копирует и его user-agent. Подозреваю, что взломан мой роутер, комп. Меняю способ связи, меняю компьютер, взломщик меняет user-agent вслед за мной.

  7. При нажатии кнопки "завершить все сессии браузера", меня разлогинивает и начинается эпопея восстановления доступа, с смсками и капчами.

  8. Замечаю в дополнительных способах входа одноразовые коды. Похоже, что доступ взломщик восстанавливает через них. Удаление способа входа через одноразовые смс приводит к моему разблокированию. Предполагаю, что мне нужно одновременно нажать на удаление способов входа и завершить все сессии, но практически этого не получается сделать из-за белых пустых вкладок при переходе по ссылкам и частым разлогиниванием меня.

  9. К этому времени исчерпан лимит смс и звонков для авторизации. Я разлогинен, взломщик орудует.

  10. Удаление аккаунта vk id отрезает взломщику доступ к аккаунту, спасибо за эту возможность, работает хорошо. Предлагается использовать второй аккаунт вк для обращения в техподдержку, но такового нет.

  11. Банк мошенника - QIWI 4890 4947 9285 2881. Номер карты в якобы фотографии банковской карты другого банка и с реальными имя-фамилия, лежащей на столе.

Также спасло от неприятных моментов (переводов денег) то, что многие люди заметили разницу в обращении, общении и сообщили владельцу о взломе, даже не отвечая взломщику. Вера в людей немного повысилась.

Удаление аккаунта k id

Так если на этапе выше завершились лимиты, как удалили, дождались истечения блокировки?

Да. Сейчас аккаунт удален, но все еще скомпроментирован.

Номер телефона никогда не являлся безопасным способом 2FA. Но даже с возможностью подключения 2FA с генерацией кодов(Google, Authy) вк лично для меня остаётся небезопасным, так как был неоднократно скомпроментирован.

Хватит собирать базы телефонных номеров пользователей!

Пользователь сам должен решать, какой уровень "безопасности" ему нужен. Ваша задача - предоставить выбор, а не собирать конфиденциальные данные под предлогом обеспечения безопасности. Безопасней - не передовать вам или кому либо ещё свой номер телфона.

а как вы будете бороться с обходом\взломом 2FA?

А под какую модель угроз рассчитана ваша система? Один тип злоумышленника может мои данные из соц сети раскрыть, а другой может с помощью них посадить. И у меня почему-то второй вызывает больше опасений. Против этого типа вы ничего не хотите сделать?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий