«ВКонтакте» уличили в выдаче имени по номеру телефона пользователя

В социальной сети «ВКонтакте» был обнаружен способ выяснить имя человека, зная его номер телефона. 15 января описание способа было опубликовано на «Хабрахабре», после чего на ситуацию обратили внимание разработчики соцсети.

Автор заметки на «Хабрахабре» рассказывает о «дыре в системе восстановления пароля социальной сети "ВКонтакте"». Для восстановления доступа к странице нужно знать соответствующие адрес электронной почты или номер телефона.

Для восстановления доступа «ВКонтакте» отсылает на номер телефона, привязанный к аккаунту, специальный код. Непосредственно перед отправкой соцсеть спрашивает у пользователя, правильно ли была определена страница, для чего выводится часть информации с неё.

«Уязвимость» заключалась в том, что когда пользователь вводил в поле для восстановления пароля номер телефона, «ВКонтакте» выводила имя и фамилию пользователя, к чьей странице привязан номер, и его аватарку.

На «Хабрахабре» и других ресурсах посчитали, что этой лазейкой могут воспользоваться злоумышленники, чтобы сопоставить базу номеров телефонов (их можно перебирать по порядку) с именами и фотографиями людей. Ситуация усугублялась тем, что «каптча» для защиты от автоматического перебора запрашивалась только иногда.

Одним из наиболее очевидных способов использования подобной «базы» могла бы стать рассылка SMS-спама с упоминанием имени получателя: вероятность отклика в таком случае обычно выше, чем при распространении обезличенной рекламы. Но на «Хабрахабре» предложили и иной вариант.

Представители «ВКонтакте» официальных заявлений по поводу найденной уязвимости не делали. Однако один из разработчиков соцсети рассказал TJournal, что в механизм восстановления доступа к аккаунту был изменён: теперь после ввода номера телефона выводится только аватарка связанной с ним страницы.

При восстановлении доступа к аккаунту через полную версию сайта «ВКонтакте» кроме номера телефона теперь требуется указать также фамилию пользователя.

#ВКонтакте #уязвимости #SMS_спам #уязвимости_ВКонтакте

Статьи по теме
Хакер устроил эпидемию репостов во «ВКонтакте»
{ "author_name": "Султан Сулейманов", "author_type": "self", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438_\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","sms_\u0441\u043f\u0430\u043c"], "comments": 25, "likes": 58, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 49330, "is_wide": true, "is_ugc": true, "date": "Wed, 15 Jan 2014 22:46:45 +0400" }
Комментарии

Рыжий Паша

14

На самом деле пора давно привыкнуть к тому, что если ты более или менее активен в соц. сетях, то найти о тебе какую то информацию не очень большого труда дело, в большинстве случаев. Например, не проблема собрать инфу о человеке по его фотографии используя поиск гугла, если у него профили открыты всему интернету, даже имени знать не недо.

Жалкий пёс_анон

14

Сохраняем аватарку на комп, идём на images.google.com, загружаем аватарку и почти со 100% вероятностью получаем ссылку на профиль пользователя.

В полной версии сайта и раньше было необходимо указать также и фамилию.

Актерский меч

5

Facebook до сих пор по номеру выдаёт имя пользователя.
www.facebook.com/recover/initiate

Офтоп
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]
Не пропустите самое важное,
что происходит в интернете
Подписаться на push-уведомления