Двухфакторная аутентификация во «ВКонтакте» не такая защищенная, как принято считать. Пользователь «Хабра» это наглядно доказал.
Суть двухфакторной аутентификации, существующей в ВК уже несколько лет, сводится к тому, что после ввода логина и пароля вы должны ввести еще и код, отправленный на ваш номер мобильного телефона или сгенерированный в приложении на смартфоне.
Программист Даниил Андреев на сайте Habr показал, как взломать систему, зная только номер телефона его владельца. По его словам, поскольку каждая официально купленная сим-карта привязывается к паспорту, у мобильных операторов есть данные об их клиентах. Программист утверждает, что базы данных клиентов просто найти в «темном сегменте» интернета — даркнете.
В моем случае в базе данных крупного салона связи оказались как мои данные, так и данные моей мамы и даже бабушки. Стоимость получения данной информации как раз укладывается в ценник ~500-1000 рублей. Возможно это выглядит достаточно муторно и проблемно, но по факту это занимает не более получаса и вряд ли вас кто-то будет после искать и найдет.
Получив паспортные данные, Андреев создал фейковый аккаунт и написал с него в официальные сообщества нескольких мобильных операторов, попросив их настроить переадресацию звонков с номера жертвы взлома на принадлежащую ему сим-карту. И что бы вы думали? Да, один из операторов попросил от взломщика только прежний номер телефона, ФИО владельца и его паспортные данные (то, что Андреев получил благодаря даркнету).
Хотя жертва взлома и получит уведомление на свой телефон о переадресации, но на деле это может пройзойти как спустя несколько минут, так и спустя час. А если сделать это, например, в четыре утра, то хозяин точно не сразу отреагирует на пришедшее ему смс.
Подключив услугу переадресации, Андреев приступил к взлому аккаунта и попытался сменить пароль: для этого «ВКонтакте» выслал смс с кодом. Оно приходит на телефон жертвы, но если действовать быстро, то хозяин взломанного аккаунта не успеет предпринять действий по защите своих данных. После нескольких попыток получить код по смс взломщик дожидается предложения робота позвонить, получает от него код и меняет пароль.
Единственное, что может помешать претворению описанного плана в жизнь — отказ оператора настроить переадресацию через чат ВК. Такие операторы были, но один согласился.
Живите с этим.
Суть двухфакторной аутентификации, существующей в ВК уже несколько лет, сводится к тому, что после ввода логина и пароля вы должны ввести еще и код, отправленный на ваш номер мобильного телефона или сгенерированный в приложении на смартфоне.
Программист Даниил Андреев на сайте Habr показал, как взломать систему, зная только номер телефона его владельца. По его словам, поскольку каждая официально купленная сим-карта привязывается к паспорту, у мобильных операторов есть данные об их клиентах. Программист утверждает, что базы данных клиентов просто найти в «темном сегменте» интернета — даркнете.
В моем случае в базе данных крупного салона связи оказались как мои данные, так и данные моей мамы и даже бабушки. Стоимость получения данной информации как раз укладывается в ценник ~500-1000 рублей. Возможно это выглядит достаточно муторно и проблемно, но по факту это занимает не более получаса и вряд ли вас кто-то будет после искать и найдет.
Получив паспортные данные, Андреев создал фейковый аккаунт и написал с него в официальные сообщества нескольких мобильных операторов, попросив их настроить переадресацию звонков с номера жертвы взлома на принадлежащую ему сим-карту. И что бы вы думали? Да, один из операторов попросил от взломщика только прежний номер телефона, ФИО владельца и его паспортные данные (то, что Андреев получил благодаря даркнету).
Хотя жертва взлома и получит уведомление на свой телефон о переадресации, но на деле это может пройзойти как спустя несколько минут, так и спустя час. А если сделать это, например, в четыре утра, то хозяин точно не сразу отреагирует на пришедшее ему смс.
Подключив услугу переадресации, Андреев приступил к взлому аккаунта и попытался сменить пароль: для этого «ВКонтакте» выслал смс с кодом. Оно приходит на телефон жертвы, но если действовать быстро, то хозяин взломанного аккаунта не успеет предпринять действий по защите своих данных. После нескольких попыток получить код по смс взломщик дожидается предложения робота позвонить, получает от него код и меняет пароль.
Единственное, что может помешать претворению описанного плана в жизнь — отказ оператора настроить переадресацию через чат ВК. Такие операторы были, но один согласился.
Живите с этим.
