Логин, пароль или с чем тебя едят

По мотивам темы на Хабре.

Да, это было давно. Базу vkontakte дампнули еще в 2011-2012 году. Тогда эти данные были лишь у единиц и ими пользовались в корыстных целях. Но после утечки базы в открытый доступ, она будто превратилась в бесполезный набор символов. Пароли от учетных записей были сменены службой безопасности автоматически. Стала обязательной привязка телефона, двухфакторная аутентификация, бла-бла-бла и т.д.

Но обеспечило ли это безопасность пользователя? Попробуем дать подробный анализ.

image

Как правило, пароль должен быть у человека в памяти, чтобы знал его только он и никто больше! Для этого пароль должен быть легко запоминаем, а также «уникальным». Но мы просто вынуждены менять пароли каждый n-период. Так как в нашей памяти уже заложен базовый пароль, то мы будем отталкиваться именно от него, придумывая различные вариации. Скажем, есть пароль типа "qwerty". Вам сказали, что он очень простой. Вы подумали, провели математический анализ и пришли к выводу, что пароль будет "qwerty01041983", где 01 — дата, 04 — месяц, 1983 — год вашего рождения.

Что ж, не плохо. Теперь у брута просто не будет шансов вас взломать. Хм, однако, нет! Есть много типов взлома, как точечные — нацеленные на конкретную жертву, так и массовые, где не важно — кто, а, главное, как можно больше!

Так вот, взломанные базы различных сайтов обеспечивают хакеров жизненно важным лекарством, без которого им просто не жить. Скажем, у вас был пароль из 16 символов, где есть заглавные буквы, цифры и специальные символы. Вы считаете, что обеспечили себя безопасностью на всю жизнь, но стоит вам зарегистрироваться на каком-нибудь однодневном форуме, а на следующий день вы уже не можете войти в свой почтовый ящик.

Все это понятно, все это просто. Давайте посложнее!

Почти все топовые сервисы подвергались взлому и дампу базы данных. Я не буду упоминать их, но поведаю о вэка точка ком, на основе той самой взломанной базы.

Вы знали, что на при регистрации официального паблика первого канала — vk.com/1tv — пароль администратора был "xt,ehfirf", а почта — vkontakte@web.1tv.ru? (кстати, сейчас это почему-то mail.1tv.ru). Защита, кули…

Окей, пароль сменили, скажем, на какой-нибудь xt,ehfirf1 и поехали дальше!

Конечно, в базе находятся не все данные. Как говорилось ранее, это всего 100 млн пользователей, которым принадлежали id до 100.000.000. Так им образом, эксплуатация этой базы заключается в поиске страниц, чей id не выше 100млн. А далее — найти его пароль/почту/телефон.
И тут очень важный момент! Хакеры не все преступники, но я задену тему преступников. Зная лишь номер телефона пользователя, можно получить прямой доступ к его страничке, даже если мы не знаем пароль. Данный способ работает по сей день и будет работать долгое время, пока наша страна не изменит парочку законов в кодексе, но да ладно. Кстати, я описывал этот метод вкратце в своей первой статье о социальной инженерии.

Есть много способов эксплуатации данной базы, поэтому я не буду показывать вам целую кучу сообществ вконтакте, данные администраторов которых находятся в базе. А расскажу я именно про эти самые способы эксплуатации, конечно же, вкратце.

Есть сервисы, позволяющие узнать администратора группы вконтакте. Для этого достаточно лишь указать id группы. В основном, создатели сообществ — мертвые аккаунты, которые были зарегистрированы для создания группы и для передачи прав другим страницам, которые должны будут модерировать эти самые паблики.

В итоге, мы получаем почту, старый_пароль, номер телефона (если есть), а потом совершаем попытки получить неправомерный доступ. Пароль от вк уже не действует, поэтому пробовать его бесполезно. Однако, если страница не привязана к телефону ( в базе номера просто не будет), то мы можем получить доступ к почте. А это уже даст нам доступ к самой странице.

mail.ru, yandex, rambler — заблокировали автоматически все ящики после утечки данных vkontakte.
Но разблокировать их нам ничего не мешает, выдав себя за владельца.

Почту мы знаем
Имя и фамилию мы знаем ( от самой страницы)
Дату регистрации ящика мы можем вычислить, исходя из регистрации самой страницы vk — через vk.com/foaf.php?id=ID, где ID — id жертвы.
Секретный вопрос — ответ. Что ж. Это будет сложнее, но для этого есть СИ, есть сбор информации с других источников.


Исходя из моего примера, я нашел страницу в вк, которая была онлайн последний раз в 2013 году. Зарегистрирована она была в 2013. Ясно было, что это страница однодневка. Но эта страница являлась администратором/создателем паблика, онлайн которого превышал 1 миллион пользователей. Из самой базы у меня были имя, фамилия, почта и старый пароль. Я сделал заявку на восстановление почты. Велся активный диалог со службой безопасности, в ходе которого мне приходилось отвечать на различные вопросы, на которые я с легкостью правильно отвечал. Когда вопрос дошел до контрольного: «Какой IP вы использовали при последнем успешном входе», то я «засмущался». Но после ввода почты жертва в google, я смог найти еще одну взломанную базу, но уже менее известного сайта. Это был уже полный дамп всех таблиц sql, где были такие данные как "last_ip" и "reg_ip".

Не буду рассказывать дальше, чем все это закончилось, скажу, что мне просто крупно повезло, совпадение, удача и тд. А, может, и нет.

В сети настолько много взломанных и слитых в открытый доступ баз, что вы можете еще лишь придумывать свой пароль, а он уже есть в сети.

Следующий способ взлома будет весьма деликатным. Как отменный повар хакерского ремесла я скажу, что это очень изощренный метод, однако, он работает! Эврика!

Предположим, вы забыли свой пароль, почту, да даже номер телефона! Ну, всякое бывает, знаете ли.

И тут начинается фан! Если страница не была в онлайне очень давно, то это вам на руку! Если же страница онлайн, то тут уже сложнее.

Однако, я остановлюсь на том, что страничка давно не эксплуатировалась. И так, мы жмякаем «забыли пароль». А потом на «четотам, нажмите сюда >>

image

Введя ссылку на нужную нам страничку, мы получим форму для восстановления данной страницы.

image

Нам предстоит сфотографироваться на фоне нашего компуктера, где в браузере открыта данная страничка. Хм. Задача не из простых, однако это решаемо. Если вы опытный фотошопер, то вам ничего не стоит — взять лицо и „приклеить“ его к рядом стоящему монитору. Ну, вы поняли — ножницы, маска, масштаб, штамп, свет, тени, цветокоррекция и т.д. — дает вам результат. Главное здесь, это взять лицо нашей жертвы, ведь если у нее лишь одна загруженная автарака на страничке, то это плохо, подумаете вы! Но нет! Есть ведь замечательные научные сервисы, типа searchface, с которым кстати суд с вконтакте, что они не сливают ничьи данные. Но да ладно. Они не сливают же ничего прямо, они сливают их абстрактно. Хех.

Есть такие сервисы как badoo и прочие, где можно найти своего двойника, загрузив фото.
В общем, найти похожее фото — не проблема.

По заявке далее — vk предлагает загрузить наш паспорт, как бы ставя под удар всякие там законы о защите каких-то там персональных данных, но подчеркивают, что им хватит имени, фамилии и фотографии.

image

Что ж. Тогда, мы можем также нарисовать паспорт, замазать серию, номер паспорта и прочие данные, кроме ФИО. Что же за глупость глупейшая. Но да ладно. Делаем фейк нашего паспорта с замазанной серией и номером, что уже не есть паспорт, а какая-то бумажка, но да ладно.

Далее все просто. Мы указываем свой номер, на который будет привязана „наша“ страница. Просто ждем. Через сутки другие нам будет прислан ответ — либо да/либо нет.

Если вам интересен ответ, то набираем классы, подписываемся на мой канал, ставим лайки, комментируем и тогда я выложу этот способ в действии. Прям как блогер себя чувствую, но нет. Я просто показываю, как делать нельзя, ведь лучше знать все и уснуть чуть позже, чем спать крепче и лишиться всего, если ты меньше знаешь.
Теги:
база, взлом, вконтакте, почта, пароль, логин, данные

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.