Пользователь Habr нашёл способ взломать аккаунт «ВКонтакте», даже если он защищён двухфакторной аутентификацией. Всё, что ему для этого понадобилось, — номер телефона жертвы и его принадлежность к одному определённому оператору связи. Из-за лазеек в политике безопасности компании непосредственный взлом аккаунта занял у программиста всего несколько минут.
Уже несколько лет во «ВКонтакте» доступна функция двухфакторной аутентификации, которая была введена разработчиками, чтобы ещё больше обезопасить страницы пользователей и пабликов от злоумышленников. Её суть в том, что после ввода логина и пароля вас просят ввести ещё и код, отправленный на ваш номер мобильного телефона или сгенерированный в специальном приложении на смартфоне.
Казалось бы, обойти такую систему защиты должно быть очень и очень сложно, но пользователь Habr программист Даниил Андреев доказал обратное. Он произвёл тестовый взлом аккаунта во «ВКонтакте», зная только номер телефона его владельца. Так как каждая купленная официально сим-карта привязывается к паспорту, у мобильных операторов есть данные их клиентов и, как утверждает Андреев, они часто перестают быть конфиденциальными.
Даниил попробовал найти по номеру телефона паспортные данные себя и своих близких в даркнете и обнаружил, что это даже слишком просто.
В моём случае в базе данных крупного салона связи оказались как мои данные, так и данные моей мамы и даже бабушки. Стоимость получения данной информации как раз укладывается в ценник ~500-1000 рублей. Возможно, это выглядит достаточно муторно и проблемно, но по факту это занимает не более получаса, и вряд ли вас кто-то будет после искать и найдёт.
После этого Андреев создал фейковый аккаунт во «Вконтакте», написал с него в официальное сообщество нескольких мобильных операторов, попросив их настроить переадресацию с номера жертвы взлома на принадлежащую ему сим-карту. Всё, что от него потребовал один из операторов, — прежний номер телефона, ФИО его владельца и его паспортные данные. Как раз всю ту информацию, что и оказалась в распоряжении Андреева благодаря даркнету.
Конечно, жертва получит уведомление о переадресации на свой номер телефона, но, как показал опыт Даниила, это может произойти как спустя несколько минут, так и спустя целый час. Но даже за несколько минут хакер уже может получить нужную ему информацию, а если он будет взламывать аккаунт в четыре часа утра, то его хозяин не сразу отреагирует на пришедшее ему эсэмэс.
Как только Андреев подключил себе услугу переадресации, он приступил непосредственно к взлому аккаунта и попытался сменить пароль. Чтобы подтвердить это действие, «ВКонтакте» выслал эсэмэс с кодом. Оно приходит на телефон жертвы, так как переадресация работает только на звонки, но опять же если делать всё быстро, хозяин взломанного аккаунта не успеет предпринять никаких действий по защите своих данных.
Так как кода Андреев так и не получил, он просит «ВКонтакте» выслать ему ещё одно эсэмэс, и после этого сайт предлагает ему позвонить. Этого как раз пользователю и надо. Робот звонит на номер телефона взломщика, сообщает ему код, с помощью которого хакер меняет пароль. Даже если жертва быстро сменит пароль, Даниил мог бы либо попробовать взломать профиль ещё раз, либо сохранить все её данные к себе на компьютер.
Нет никаких проблем запустить скрипт дампа страницы, который сохранит всю историю переписок, все фотографии и всё, что только душе угодно, за пару секунд.
Единственное, что может помешать претворению описанного плана в жизнь, — отказ оператора настроить переадресацию через чат во «ВКонтакте», и такие операторы были. По правилам одних, переадресация может настраиваться только через сам телефон, другие писали, что переадресацию можно настроить, либо позвонив в колл-центр, либо в личном кабинете. А один оператор и вовсе согласился подключить переадресацию, только если человек лично придёт в салон.
Но куда же без недобросовестных.
Один из пользователей предположил, что оператор, логотип которого Даниил замазал, — «Билайн», и обратился за комментарием в их службу поддержки. Судя по скриншоту пользователя, «Билайн» действительно может установить переадресацию, если клиент просто предоставит паспортные данные даже через чат «ВКонтакте», а чтобы этого не случилось, можно прийти лично в салон и установить универсальный пароль.
Пользователи Habr часто находят уязвимости в системах безопасности различных компаний и сервисов и частенько таким образом помогают людям защитить свои личные данные. Так, совсем необязательно проходить авторизацию через «ВКонтакте», когда вы хотите посмотреть видео на Pornhub. Medialeaks рассказывал о нескольких простых способах остаться анонимным, когда смотрите любимые ролики на сайте.
А причины опасаться за свои личные данные при пользовании Pornhub действительно есть. Согласно официальным заявлениям компании, она не передаёт данные третьим лицам, но в правдивости этих слов можно засомневаться, учитывая особые отношения Pornhub с «ВКонтакте» и Роскомнадзором.
Нужен надёжный помощник по ремонту? Вам сюда.