«ВКонтакте» уличили в выдаче имени по номеру телефона пользователя

В социальной сети «ВКонтакте» был обнаружен способ выяснить имя человека, зная его номер телефона. 15 января описание способа было опубликовано на «Хабрахабре», после чего на ситуацию обратили внимание разработчики соцсети.

Автор заметки на «Хабрахабре» рассказывает о «дыре в системе восстановления пароля социальной сети "ВКонтакте"». Для восстановления доступа к странице нужно знать соответствующие адрес электронной почты или номер телефона.

Для восстановления доступа «ВКонтакте» отсылает на номер телефона, привязанный к аккаунту, специальный код. Непосредственно перед отправкой соцсеть спрашивает у пользователя, правильно ли была определена страница, для чего выводится часть информации с неё.

«Уязвимость» заключалась в том, что когда пользователь вводил в поле для восстановления пароля номер телефона, «ВКонтакте» выводила имя и фамилию пользователя, к чьей странице привязан номер, и его аватарку.

На «Хабрахабре» и других ресурсах посчитали, что этой лазейкой могут воспользоваться злоумышленники, чтобы сопоставить базу номеров телефонов (их можно перебирать по порядку) с именами и фотографиями людей. Ситуация усугублялась тем, что «каптча» для защиты от автоматического перебора запрашивалась только иногда.

Одним из наиболее очевидных способов использования подобной «базы» могла бы стать рассылка SMS-спама с упоминанием имени получателя: вероятность отклика в таком случае обычно выше, чем при распространении обезличенной рекламы. Но на «Хабрахабре» предложили и иной вариант.

Представители «ВКонтакте» официальных заявлений по поводу найденной уязвимости не делали. Однако один из разработчиков соцсети рассказал TJournal, что в механизм восстановления доступа к аккаунту был изменён: теперь после ввода номера телефона выводится только аватарка связанной с ним страницы.

При восстановлении доступа к аккаунту через полную версию сайта «ВКонтакте» кроме номера телефона теперь требуется указать также фамилию пользователя.