Автор Dmitry Evteev. На данный момент уязвимость частично исправлена.
С недавних пор (около года назад), социальная сеть ВКонтакте в агрессивно принудительной форме стала собирать номера мобильных телефонов участников этой соц. сети. Опустим фактор подмены понятий добровольно привязать номер мобильного телефона для защиты аккаунта и принудительно требовать его с той же целью. Сосредоточимся на том, насколько защищены эти данные от посторонних…
[Ссылки могут видеть только зарегистрированные пользователи. ]
Нам обещают, что ни о чем не стоит беспокоится! Но на самом деле, достаточно кому-то знать ваш "сакральный адрес электронной почты" и первые семь цифр мобильного телефона кому-то уже стали известны.
[Ссылки могут видеть только зарегистрированные пользователи. ]
Где вы еще оставляли свой номер телефона? Может быть в сервисах Google? Тогда кто-то неизвестный завладел уже и последними двумя цифрами вашего номера, который вы вовсе не собиралась разглашать всем кому не попадя.
[Ссылки могут видеть только зарегистрированные пользователи. ]
Вернее, плюс двумя цифрами к первым семи, что позволяет методом простого перебора (всего 100 возможных вариантов) идентифицировать его владельца с использованием простейших социотехник.
Ваш телефон также указан в социальной сети Facebook для повышения безопасности аккаунта?
[Ссылки могут видеть только зарегистрированные пользователи. ]
Facebook, при восстановлении пароля в чуть более простых условиях (необязательно знать email), сообщит желающему последние четыре цифры вашего номера телефона. Таким образом "повышенная безопасность" при восстановлении паролей с использованием SMS-сообщений в Facebook и в большей степени ВКонтакте позволяет полностью идентифицировать ваш номер мобильного телефона.
Разумеется, кто-то возразит, что пользователи социальных сетей самостоятельно публикуют свои номера мобильных телефонов. Бесспорно. Но далеко не все! Точно также, многие не публикуют и другую информацию о себе "для всех". Хотя конечно развивать данную мысль бессмысленно т.к. она будет сведена к бесконечной демагогии.
Суть данной публикации в другом. Суть в том, чтобы показать, как при разных подходах к обеспечению безопасности приватных данных человека (на примере восстановления паролей) становится возможным по крупицам собирать информацию о нем. И речь не идет лишь о номере мобильного телефона.
________________
В любом из нас спит гений. И с каждым днем все крепче.
Запомните раз и навсегда:= 'Помочь' <> 'Сделайте за меня';
Регистрация: 12.04.2009
Сообщений: 394
Популярность: 47903
Сказал(а) спасибо: 515
Интересный подход к поиску багов
Золото Zhyk.Ru: 7 
Re: Интересный подход к поиску багов
