«ВКонтакте» уличили в выдаче имени по номеру телефона пользователя Статьи редакции
В социальной сети «ВКонтакте» был обнаружен способ выяснить имя человека, зная его номер телефона. 15 января описание способа было опубликовано на «Хабрахабре», после чего на ситуацию обратили внимание разработчики соцсети.
Автор заметки на «Хабрахабре» рассказывает о «дыре в системе восстановления пароля социальной сети "ВКонтакте"». Для восстановления доступа к странице нужно знать соответствующие адрес электронной почты или номер телефона.
Для восстановления доступа «ВКонтакте» отсылает на номер телефона, привязанный к аккаунту, специальный код. Непосредственно перед отправкой соцсеть спрашивает у пользователя, правильно ли была определена страница, для чего выводится часть информации с неё.
«Уязвимость» заключалась в том, что когда пользователь вводил в поле для восстановления пароля номер телефона, «ВКонтакте» выводила имя и фамилию пользователя, к чьей странице привязан номер, и его аватарку.
На «Хабрахабре» и других ресурсах посчитали, что этой лазейкой могут воспользоваться злоумышленники, чтобы сопоставить базу номеров телефонов (их можно перебирать по порядку) с именами и фотографиями людей. Ситуация усугублялась тем, что «каптча» для защиты от автоматического перебора запрашивалась только иногда.
Одним из наиболее очевидных способов использования подобной «базы» могла бы стать рассылка SMS-спама с упоминанием имени получателя: вероятность отклика в таком случае обычно выше, чем при распространении обезличенной рекламы. Но на «Хабрахабре» предложили и иной вариант.
Представители «ВКонтакте» официальных заявлений по поводу найденной уязвимости не делали. Однако один из разработчиков соцсети рассказал TJournal, что в механизм восстановления доступа к аккаунту был изменён: теперь после ввода номера телефона выводится только аватарка связанной с ним страницы.
При восстановлении доступа к аккаунту через полную версию сайта «ВКонтакте» кроме номера телефона теперь требуется указать также фамилию пользователя.
Сохраняем аватарку на комп, идём на images.google.com, загружаем аватарку и почти со 100% вероятностью получаем ссылку на профиль пользователя.
В полной версии сайта и раньше было необходимо указать также и фамилию.
Если использовать Chrome, то и скачивать изображение не требуется. Нажать правой кнопкой мыши на изображении->Найти изображение в Google.
В Яндекс.Браузере так же, а ещё можно поискать по Яндекс.Картинкам!
#реклама
Ровно то же самое придумал и проделал, вырезав микроаватарку Султана Загидовича. Вышел на его профиль в итоге.
Мы сегодня с утра пробовали — у нас не просило.
причем ищет даже по мелкой картинке (образец вырезал со скриншота статьи) - но находит не страницу владельца аватарки, а те, где используется ее уменьшенная версия
london loves, ну это у кого как. По чьей-то картинке он найдёт прям сам профиль пользователя (чаще всего), по чьей-то — смежные страницы, как в данном случае. В каком-то случае вообще не найдет ничего
На самом деле пора давно привыкнуть к тому, что если ты более или менее активен в соц. сетях, то найти о тебе какую то информацию не очень большого труда дело, в большинстве случаев. Например, не проблема собрать инфу о человеке по его фотографии используя поиск гугла, если у него профили открыты всему интернету, даже имени знать не недо.
Надо было все же Сноудена брать, Павел Валерьевич!
прошу прощения что занял первый комент:
кому писать о уязвимости в вк:
уязвимость позволяет обворовывать вк на тысяч на 5 в день шибко не напрягаясь
в саппорте контактов ни каких не дали, писать в сапорт суть не хочу
Facebook до сих пор по номеру выдаёт имя пользователя.
www.facebook.com/recover/initiate
Было удобно полить неизвестные номера ;(
чем полить, простите?
Уязвимость неприятная, но по сути, что спама итак куча сыпется, что рассылки левые лезут. Привычное дело.
Уверен, что исправят оперативно.
Запланированная уязвимость получилась...
Блин, какой же я был слепой...
ВК давненько уже иногда запрашивает фамилию при восстановленнии
А я думал это фича, а не баг, лол.
Еще можно написать "ВИРТ-ВИРТ-ВИРТ" в девичью фамилию, перед этим сменив пол на женский, и вас забанят в течении 5-10 минут навсегда. без возможности разблокировки.
Надеюсь, кто-нибудь попробует.
http://vk.com/id146445753
как-то стало хуже.. раньше можно было переключаться между аккаунтами без чистки куки, теперь получается, что акк привязан
актуально при наличие рабочих аккаунтов, которые заводятся именно для создания фейктов, с которых проще общаться с аудиторией социальных игр
Неоднократно пытался проделать эту фишку в середине декабря, но уже тогда ничего не получалось, увы.
Ну, мой телефон ещё в старой базе сотовых имеется, вместе остальными паспортными данными. Так что я особо не переживаю )) хотя стоит задуматься о его в смене.
Берем ссылку на пичку и идем в гугл поиск по картинкам, далее я думаю всем понятно...
Безопасность...