Абонент «Билайна» с новыми SIM-картами получила доступ к привязанным к ним чужим аккаунтам «ВКонтакте» Статьи редакции
Старые мобильные номера «Билайна», когда-то принадлежавшие пользователям «ВКонтакте», позволили новому владельцу получить доступ к привязанным к ним аккаунтам соцсети. Об этом TJournal рассказала одна из читательниц.
Возможность получить доступ к профилям «ВКонтакте» по вновь поступившим в продажу неактивным телефонным номерам обнаружила интернет-маркетолог Лина Молотова.
Купив в одном из офисов «Билайн» несколько SIM-карт, она попыталась использовать их для регистрации страниц в социальной сети, однако столкнулась с тем, что аккаунты с такими мобильными номерами уже существуют.
После ввода в форме регистрации имени, фамилии, пароля и пришедшего на телефон кода подтверждения, девушка увидела сообщение, предлагавшее либо создать новый аккаунт, либо войти в уже существующий старый профиль, привязанный к указанному номеру. При выборе чужой страницы, пароль аккаунта автоматически менялся на новый, только что введённый пользовательницей.
Так было с двумя аккаунтами. Доступа к одному получить так и не удалось, так как восстановление там шло через электронную почту. Второй аккаунт не имел привязанной почты, и мне оставалось всего лишь ввести свою. Но что было бы, если я выбрала «Создать новую страницу»? Если я попытаюсь восстановить пароль, SMS с кодом придёт на два разных смартфона? И сможет ли та девочка, чей аккаунт был доступным только через почту, залогиниться, если я включу двухфакторную авторизацию, а активная SIM-карта у меня? Лина Молотова, интернет-маркетолог
Во «ВКонтакте» редакции TJournal подтвердили, что подобные проблемы действительно могут возникать при повторной активации принадлежавших когда-то другим пользователям соцсети мобильных номеров. Как уточнил пресс-секретарь соцсети Георгий Лобушкин, избежать неприятностей можно используя для защиты аккаунта два способа верификации.
Да, к сожалению, по вине операторов связи такое случается. И именно по этой причине мы ввели двухфакторную авторизацию этим летом. Георгий Лобушкин, пресс-секретарь «ВКонтакте»
В официальном твиттере «Билайна» представители оператора пояснили, что конкретного срока, по истечении которого чей-то старый номер может снова поступить в продажу, не существует. Как сообщили в компании, узнать о наличии того или иного номера в продаже можно только придя в офис.
@YesMolotowa Добрый день! Точных сроков нет. Выбрать можно из тех номеров, которые есть в продаже. #билайн
— Билайн (@Beeline_RUS) October 31, 2014
@YesMolotowa =>дополнительные услуги. Наличие номера в продаже можно уточнить только при визите в офис. #билайн
— Билайн (@Beeline_RUS) October 31, 2014
Двухфакторная модель аутентификации при входе в профиль появилась во «ВКонтакте» в июне этого года. Помимо логина и пароля пользователи могут настраивать подтверждение личности по SMS или использовать специальные резервные коды, каждый из которых действует только один раз. С помощью кодов можно подтверждать вход, не имея под рукой мобильного телефона.
#ВКонтакте #социальные_сети #мобильная_связь #Георгий_Лобушкин #двухфакторная_аутентификация_ВКонтакте #как_обезопасить_свои_аккаунты_в_соцсетях #аккаунты_ВКонтакте #симки #симки_Билайн #как_привязать_аккаунт_ВКонтакте_к_телефону #старые_номера_Билайн_помогли_получить_доступ_к_страницам_ВКонтакте #привязать_профиль_ВКонтакте_к_почте #безопасность_пользователей_ВКонтакте
Почетный якорь
Почему человеку позволяют восстановить доступ к странице по номеру если он даже не знает имени профиля? Ну хотябы спрашивали бы имя профиля для приличия. Ато вконтакт же сразу тебе и профиль скажет какой привязан к номеру и пароль сменить предложит. Это не двухфакторная авторизация это однофакторная авторизация. Только один фактор есть. Владеешь номером значит владеешь и привязанным профилем.
Мужской диод
Спрашивают, уже давно не говорит, пофиксили. Но по переписке можно вычислить профиль.
Строительный волк
Оператор здесь ни при чем.
У всех нормальных банков авторизация не проходит после замены сим-карты, даже с тем же номером.
ВК стоит сделать то же самое, это их косяк.
http://get-creditz.ru/posle-zamenyi-sim-kartyi-banki-dolzhnyi-budut-otklyuchat-klientov-ot-sms-obsluzhivaniya/
Цивилизованный татарин
ВК - это фигня. Но вот, например, потерять номер, на который привязан Сбербанк-Онлайн - это пострашнее будет.
Почетный якорь
Сбербанк онлайн вроде требует сначала ввести логин или идентификатор https://online.sberbank.ru/CSAFront/async/page/recover.do так что там такая фишка не прокатит.
А вконтакт сам тебе скажет какой профиль зарегистрирован на телефонный номер который ты только что приобрёл. И предложит сменить пароль. В этом то и проблема.
Цивилизованный
Но на привязанный номер будут продолжать приходить все уведомления, а зайти в Сбербанк-Онлайн чтобы изменить номер нельзя без СМС-подтверждения.
Электрический химик
Вот, у меня такая же фигня произошла со Сбером, только у меня был подключен "Мобильный банк", 5000 рублей, как не бывало.
Что там Лобушкин несёт? Они ввели обязательную привязку к телефону. Ну да. Только вопрос то в том что владеешь телефоном = владеешь профилем. Даже не надо знать адреса и имени профиля который привязан к телефону. ВКонтакт сам тебе скажет какой профиль привязан к номеру и предложит восстановить пароль через код в смс.
Буржуазный корабль
Если подключен аутентификатор, простым номером телефона не обойтись, если я не ошибаюсь. Именно про это Лобушкин и написал.
Почетный якорь
Если бы они не давали случайным людям полный контроль над профилями только по номеру телефона даже не убедившись что человек действительно знает от какого профиля этот телефон, то этой проблемы бы не было. Одно дело логин по номеру телефона и паролю, когда спрашивать имя профиля лишнее, и совсем другое процесс смены пароля/регистрация нового аккаунта на номер, когда они почемуто не то что не спрашивают, а наоборот сами говорят имя профиля к которому привязан телефон. Согласен? Интересно, а та светлая голова которая это придумала до сих пор у них работает и за безопасность отвечает или уже отстранили
Лунный Мика
>Даже не надо знать адреса и имени профиля
Хорошая попытка, Билайн. Но вместо логина в виде e-mail мы давно используем номер телефона. Адреса электронной почты у вас может и не быть.
Почетный якорь
У моего профиля был логин по почте, например. Всегда так заходил. Потом вконтакт потребовали его привязать к телефону. Ну ок привязал. Номером не пользовался какоето время, симку заблокировали номер продали, какойто гад восстановил через смс доступ к моему профилю и продал его спамерам. Ок?
Ещё раз вопрос повторю для невнимательных: почему вы позволяете какомуто левому человеку поменять пароль от профиля по номеру телефона, если он даже не знает имени профиля к которому этот телефон привязан? Хозяин точно знает свой профиль, а вот от таких левых счастливчиков купивших на базаре чужой номер эта элементарная предосторожность спасла бы. Но нет. Почему?
Незаконный щит
Выше уже писала. Если я потеряю ключи и не поменяю замки, то виновата буду только я.
При чем тут те кто замки делает?
Почетный якорь
Нет не так. Если ты потеряешь ключи то нашедший не сможет тебя ограбить потому что не знает где ты живёшь. А вот с номеров и вконтактом получается что ты как будто на ключах ещё и бирку с адресом приклеила. Понятно? Процедуру восстановления пароля на вконтакте можно пройти имея только доступ к телефону, не обязательно знать даже имени профиля к которому этот телефон был привязан. Ты потеряла телефон, вор его нашёл зашёл на страницу восстановления пароля и получил доступ к твоему профилю про который до этого даже не знал.
Летом они кстати похожую дыру закрыли. Тогда можно было ввести номер телефона своего приятеля и узнать какой профиль на него привязан, даже не имея доступа к этому телефону.
Незаконный щит
Но и речь тогда уж не идет про потерю номера.
Привязка к номеру - вопрос безопасности, это прописная истина. Продолбал и даже не потрудился поменять? Сам виноват.
И привет операторам, отдающим старые симки
Почетный якорь
Вероника, вы мне надоели. Прочитайте сначала всю ветку комментариев на которую отвечаете. Можно сколько угодно привязывать профили к номерам телефонов и при этом не давать левым людям восстанавливать пароли от чужих профилей про которые они знать не знали до покупки номера.
Почетный якорь
Георгий, очень хорошо что вы закрыли эту дыру и теперь спрашиваете фамилию пользователя при восстановлении пароля по номеру телефона.
Закройте теперь ту же самую дыру при восстановлении пароля по email.
Не хорошо когда по адресу email можно узнать к какому профилю он привязан.
Банковский самолет
Кстати, Георгий, вы не в курсе почему в Турции vk.com заблокировали сегодня?
Ленинский блик
Хм, в турецких пабликах со вчерашнего дня ничего не не написали.
Насколько я понял, проглядев английскую Википедию, по закону № 5651 местный роскомпозор (TİB) может закрывать ресурсы только с санкции суда. Неужели вКонтакте наступило на те же грабли, что и в 2012, и проглядело решение суда?
Цивилизованный татарин
Всё, что привязано к номеру, подвержено этой уязвимости.
WhatsApp, Viber, Telegram, Qiwi...
Технический парфюмер
Раньше все регились через отдельный емейл-логин. Теперь вместо него можно ввести телефон, и вот здесь ловушка и скрывается.
Помню и Яндекс переходили на емейл в виде телефонного номера. Как они там интересно.
Почетный якорь
Это ещё и делает тебя уязвимым к атакам со стороны наших соотечественников. Если у тебя девушка ревнивая и работает в билайне на низшей должности в ларьке какомто на кассе сидит, она уже может заблокировать твою симку выпустить к ней копию и зайти в твой профиль почитать сообщения. И это я уже не говорю о дяде полицейском. А Навального, кстати, не так взламывали, через своих людей у опсосов?
Незаконный щит
она уже может заблокировать твою симку выпустить к ней копию и зайти в твой профиль почитать сообщения.
Ничего что это преступление? Оно то тут при чем?
Незаконный щит
Для обычного юзера забыть привязать номер - косяк. Для админа паблика на мульен - преступление.
Ведь какая тут история? Как с забытыми ключами. Если я потеряю ключи, их кто-то найдет и откроет дверь, то виноваты не производители замков. Виновата я.
А если я также поступлю с ключами от офиса на работе и сейфа в нем?
Почетный якорь
Ты вообще о чём? Какой ещё "забыть привязать номер"? Причём тут потерянные ключи? Бомж который твои ключи в канализации найдёт не откроет твою дверь потому что не знает от какой двери эти ключи.
Незаконный щит
Интересно как вы пчелайн выгораживаете, валя все на вк. Который хоть при обычном восстановлении не дает данные о странице. В отличие от фейсбука.
Полностью игнорируя то, что номер продалбывают юзеры, а симку на другого человека перевыпускают операторы.
Почетный якорь
В том то и дело что вк даёт данныые о странице во время восстановления. Об этом и речь в статье. Это и есть та дыра в безопасности которую мы тут обсуждаем.
И я никогда у опсосов не работал.
Комментарий удален
Комментарий удален
Комментарий удален
Комментарий удален
Незаконный щит
При восстановлении просят указать фамилию со страницы. Ток что глянула. https://pp.vk.me/c619631/v619631093/1d145/PHMxKP7EbrY.jpg
Банковский
Так не при "восстановлении аккаунта", а при регистрации нового.
Регистрируешь новый, вводишь все данные и в конце - оп и говорит что на этом номере уже есть другой аккаунт. Можно было зайти и пользоваться.
У меня тоже такой случай был - как сейчас не знаю.
Почетный якорь
Ну молодцы, значит добавили. 15ого октября этой проверки ещё не было когда мой профиль увели. Вероятно добавили только что, после выхода этой статьи.
Очень старался тема, у меня билайн отобрал номер из-за того что 180 никто не пользовался платными услугами, номер они ни в какую не возвращают, а сменить на всех сервисах пока нет возможности. Вот им говорю, с карт сбербанка пропадут деньги - буду писать на вас в суд, ибо это чистая нагласть.
Земельный пистолет
А зачем вы привязываете карту к номеру, который не используется, и, потенциально может заблокироваться по неактивности, а далее поступить в свободную продажу?
Суд вы проиграете, т.к. в договоре, который вы подписывали при подключении ясно написано про неактивность, 180 дней и прочее.
Смешной микроскоп
Это был основной номер, но так случилось, что проблемы и тд. Пришлось переходить к другому оператору, сейчас есть страх что нашему поселку отключат интернет. Так что про связь с банком и сменой номера вообще молчу.
Цивилизованный татарин
Надо было сразу отключать сбербанк-онлайн через банкомат, например.
Оператор тут чистой воды не виноват. У банков почему то отслеживается смена сим-карты моментально (я как то себе делал replace sim и мне сразу же альфа-клик отказал подчиняться). И насчет подлости операторов...а как вы хотели, номерная то емкость ограниченна, так что делайте хотя бы раз в полгода звонок с той самой сим. Да и вообще, ввиду MNP, эта проблема вскоре потеряет актуальность, меняйте оператора с сохранением номера и будет вам щастье с временными траблами, конечно.
Почетный якорь
Нет нельзя. Телефон первичен. То что у тебя есть доступ к почте к которой привязан аккаунт никого не волнует вконтакте. Мне на почту просто пришло письмо:
"В системе ВКонтакте зарегистрирована заявка на восстановление доступа к странице: ... Если это происходит без Вашего ведома и это Ваша страница, Вам необходимо срочно зайти на свою страницу, чтобы отменить операцию."
Но зайти я уже не могу потому что пароль поменяли. И восстановить можно только через код присылаемый по телефону который уже не мой. Вот такие дела.
да и фиг сними со страничками, чего там важного то, вот у меня уже вторая симка к чужим счетам в банка привязана, вот это да, и деньги там не малые крутятся, видимо зарплатная карта или еще что, так я по сути могу деньги себе списывать вот это да трагедия для бывшего хозяина симки, а страничка что можно доступ восстановить (доказав что это твоя именно страничка) или же новую завести, не страшно это короче! что за хрень-новость!!!!!