ID: 261
УГНАТЬ VK ID ЗА 60 СЕКУНД
406
Данная статья расскажет вам о том как администрация ВК новым способом аутентификации поставила под удар практически любой аккаунт, вне зависимости от сложности пароля на нем.
| Категории: | other_article |
| Дата редактирования: | 2023-03-29 19:21:43 |
Небольшой дисклеймер. Данная статья создана с целью убедить администрацию ВК пересмотреть подход к безопасности и убрать новый дырявый способ аутентификации. Будучи добропорядочным человеком, я не хотел эту уязвимость выносить в открытый доступ и для её устранения я сперва написал в техподдержку, а также написал на недавно распиаренную платформу vk bug bounty. К сожалению, как показала практика, они оказались полностью некомпетентными (скрины переписки приведены далее) и банально не посчитали это за уязвимость. Поэтому мне пришлось вынести это на всеобщее обозрение, дабы хотя бы с помощью медиапространства заставить профнепригодных разработчиков выполнять свои обязанности.
Думаю многие заметили, что при входе в ВК на любой аккаунт с базовой защитой (т.е. стандартные логин в виде номера и пароль) сайт теперь отсылает смску на номер и на аккаунт теперь можно зайти по коду из смс.
С одной стороны - удобно, не правда ли? А с другой стороны...
"Другой стороне" и посвящена эта статья.
Введением альтернативного способа авторизации ВК по сути сделали любую страницу уязвимой, особенно уязвимыми стали все заброшенные страницы людей, которых может уже и в живых нет. Теперь не нужно знание пароля и другой информации об аккаунте, чтобы доказать право на владение им. Достаточно всего лишь иметь номер телефона!
А номера телефона даже абсолютно легально могут переходить из рук в руки! Многие операторы расторгают договоры и выставляют на повторную продажу номера всего за 3 - 6 месяцев неиспользования! И выходит, что новый владелец телефона становится еще владельцем VK ID старого хозяина (если он не отвязал тот номер, что на деле является распространённым явлением, да и ВК 17-й год идет, многих пользователей уже может и не быть в живых. Есть также еще и абсолютно легальные банковские сервисы по аренде esim номеров, чьи номера также потом идут из рук в руки; сервисы виртуальных номеров для регистраций по смс; та же крупная площадка по вторичной продаже, насколько я знаю, может выдавать подменный номер.
А теперь переходим к нескольким хоть и выдуманным, но весьма вероятным историям, о том как теперь из-за полной безалаберности, халатности, некомпетентности и профнепригодности разработчиков даже простой человек не имея никаких специальных навыков и знаний может заполучить доступ к чужим профилям VK ID:
История 1. Сантехник Вася пошёл в салон и оформил новую симкарту с новым номером. Выбрал номер, который ранее принадлежал некому Пете, но который по каким-то причинам поступил в повторную продажу и соответственно номер больше не принадлежит этому Пете. Потом Вася захотел зарегать по нему страничку ВК, указывает новый номер и вводит код из той смс и логинится в профиль Пети, который был привязан к этому номеру и становится по сути полноправным владельцем аккаунта со всеми переписками и личными данными. Не имея никакого корыстного умысла, действуя исключительно из любопытства Вася начинает смотреть переписки Пети, открыв диалог с Леной и слегка пролистав натыкается на её очень сочные фотки, это сильно помогает ему скрасить вечерок другой, ну, вы понимаете что я имею ввиду. На следующий день Вася мужикам по работе рассказывает историю как он "зарегистрировался" во Вконтакте. Разумеется, чтобы мужики не прозвали его балаболом, Вася подкрепляет свой рассказ демонстрацией аккаунта Пети и сочными фотками Лены. А потом мужики и вовсе с банальной целью поржать начинают писать Лене от имени Пети.
История 2. Ученик 9-го класса Ваня решил через сервис смс активаций зарегистрировать вторую страничку, чтобы написать девочке Маше, в которую влюблён ещё с начальной школы, так как постеснялся написать ей с основной странички. На данном сервисе он нажал кнопку "получить номер" и ему выпал рандомный. В форме входа он указывает полученный номер и на тот сервис приходит смска, Ваня её вводит и попадает на страницу незнакомого ему человека Ипполита Матвеевича, по дате регистрации страница старше самого Вани, а на данный момент Ипполита и вовсе нет в живых и, разумеется, его номер попал за неуплату в повторную продажу или в оборот для таких сервисов. По итогу Ваня становится владельцем страницы покойного Ипполита и не имея никакого злого умысла, после того как Маша его "на Ипполите" отшила, просто постит на стене бывшей страницы Ипполита мемы про My Little Pony. Родственники заметив воскресшего Ипполита, вкусы которого после перерождения стали весьма специфичны, пытаются через техподдежку вернуть доступ к его странице, но профнепригодная техподдержка посылает их на 9 кругов ада по сбору документов, а потом и вовсе пишет стандартные отписки. А после всего этого просто предлагает удалить профиль Ипполита "с концами", наплевав на разумное требование вернуть всё как было, ведь страница для родных дорога как память об Ипполите.
История 3. Коля был призван по частичной мобилизации, и так как у мобилизованных нет возможности пользоваться мобильными телефонами, многие номера уже по сроку неиспользования могли поступить в свободную продажу и в "оборот" во всяких сервисах. Ципсошная ботоферма закупая данные номера в своих целях в итоге попала на страницу Коли и стала использовать её в информационной войне и распространении фейков, что привлекло внимание органов и ими были возбуждены уголовные дела на Колю, как законного владельца этой страницы. Коля, ничего не подозревая и считая, что его страница была надежна обезопашена длинным и сложным паролем, получает дополнительный ворох проблем.
Как видите, теперь любой человек может играть "в лотерею" от создателей VK ID абсолютно легальными методами.
Теперь переходим к разделу, посвященному работе техподдержки и новому "распиаренному" сервису.
В обоих диалогах разработчики и техподдержка в этом ничего плохого не увидели, несмотря на моё подробное описание данной проблемы и неверности данного подхода. Их не заинтересовали даже предоставленные мной простые пути решения (на скриншотах выделены зеленым, "финальные" отписки разрабов выделены красным).
Прикладываю мой диалог с техподдержкой относительно данной дырищи. Комментировать излишне не буду - смотрите всё сами, остановлюсь только на словах: безалаберность, некомпетентность, разгильдяйство, вредительство, профнепригодность, халатность.
Как видно на скринах, "пообщаться" мне удалось не с одним конкретным агентом, а с достаточным количеством, и говорить что это ошибка конкретного агента уже не уместно. Это проблема уже в самой компании ВК!
Прикладываю также мои скриншоты по сути монолога с bug bounty. Результат общения с ними примерно тот же что и с обычной техподдержкой. Отличаются только тем, что они слишком "заняты" даже на отписки и всячески тянули кота за хвост, пока не вышло отведенное мной время, и только тогда все же разродились на ответ в стиле "не баг, а фича", что собственно и отвечала техподдержка, правда гораздо оперативнее.
Видимо, эта программа создавалось исключительно с целью пиара VK компании, дабы подчеркнуть как они заботятся о безопасности, что, как оказалось, не соответствует действительности. Помимо этого по моим наблюдениям разработчики смотрят отчеты только в "будние дни", что также говорит об отношении компании к безопасности сервисов. Ведь во многих уважающих себя компаниях специалисты по ИБ работают круглосуточно и должны реагировать на заявки оперативно. А может они свято уверены, что хакеры и злоумышленники тоже только по будним дням работают?
Как бы там ни было, прикладываю запись с воспроизведением данной дырищи, созданную с целью её показа разработчикам, но их не заинтересовавшую, в которой используется исключительно заложенный разработчиками ВК функционал сайта.
Подведем итоги:
Как показывает практика, доверять свои личные данные (и неличные тоже) ВК не стоит. Компания и её разработчики, ни на что кроме разработки никому не нужных мусорных сервисов и редизайнов с угроблением ui интерфейса не способна. Они даже умудрились сломать наследие команды Дурова по части защиты пользовательских данных, в которых случайный человек, купивший номер телефона, не мог попасть на страницу старого владельца, даже при сбросе пароля там требовалось указать фамилию и имя аккаунта и другую информацию, которая в случае выше описанных случайных заходов спасала старого владельца.
Как мы можем помочь исправлению данной ситуации? Самый очевидный вариант, поднять волну в сети и растиражировать данную статью, чтобы у разработчиков не осталось иного выбора, как перестать закрывать глаза на проблему. В идеале против компании ВК ещё должен быть подан коллективный иск по части умышленных действий с целью утечек пользовательских данных, по результатам которого пострадавшим пользователям поступили бы компенсации, и в бюджет РФ огромный штраф за несоблюдение закона о защите персональных данных.
Думаю многие заметили, что при входе в ВК на любой аккаунт с базовой защитой (т.е. стандартные логин в виде номера и пароль) сайт теперь отсылает смску на номер и на аккаунт теперь можно зайти по коду из смс.
С одной стороны - удобно, не правда ли? А с другой стороны...
"Другой стороне" и посвящена эта статья.
Введением альтернативного способа авторизации ВК по сути сделали любую страницу уязвимой, особенно уязвимыми стали все заброшенные страницы людей, которых может уже и в живых нет. Теперь не нужно знание пароля и другой информации об аккаунте, чтобы доказать право на владение им. Достаточно всего лишь иметь номер телефона!
А номера телефона даже абсолютно легально могут переходить из рук в руки! Многие операторы расторгают договоры и выставляют на повторную продажу номера всего за 3 - 6 месяцев неиспользования! И выходит, что новый владелец телефона становится еще владельцем VK ID старого хозяина (если он не отвязал тот номер, что на деле является распространённым явлением, да и ВК 17-й год идет, многих пользователей уже может и не быть в живых. Есть также еще и абсолютно легальные банковские сервисы по аренде esim номеров, чьи номера также потом идут из рук в руки; сервисы виртуальных номеров для регистраций по смс; та же крупная площадка по вторичной продаже, насколько я знаю, может выдавать подменный номер.
А теперь переходим к нескольким хоть и выдуманным, но весьма вероятным историям, о том как теперь из-за полной безалаберности, халатности, некомпетентности и профнепригодности разработчиков даже простой человек не имея никаких специальных навыков и знаний может заполучить доступ к чужим профилям VK ID:
История 1. Сантехник Вася пошёл в салон и оформил новую симкарту с новым номером. Выбрал номер, который ранее принадлежал некому Пете, но который по каким-то причинам поступил в повторную продажу и соответственно номер больше не принадлежит этому Пете. Потом Вася захотел зарегать по нему страничку ВК, указывает новый номер и вводит код из той смс и логинится в профиль Пети, который был привязан к этому номеру и становится по сути полноправным владельцем аккаунта со всеми переписками и личными данными. Не имея никакого корыстного умысла, действуя исключительно из любопытства Вася начинает смотреть переписки Пети, открыв диалог с Леной и слегка пролистав натыкается на её очень сочные фотки, это сильно помогает ему скрасить вечерок другой, ну, вы понимаете что я имею ввиду. На следующий день Вася мужикам по работе рассказывает историю как он "зарегистрировался" во Вконтакте. Разумеется, чтобы мужики не прозвали его балаболом, Вася подкрепляет свой рассказ демонстрацией аккаунта Пети и сочными фотками Лены. А потом мужики и вовсе с банальной целью поржать начинают писать Лене от имени Пети.
История 2. Ученик 9-го класса Ваня решил через сервис смс активаций зарегистрировать вторую страничку, чтобы написать девочке Маше, в которую влюблён ещё с начальной школы, так как постеснялся написать ей с основной странички. На данном сервисе он нажал кнопку "получить номер" и ему выпал рандомный. В форме входа он указывает полученный номер и на тот сервис приходит смска, Ваня её вводит и попадает на страницу незнакомого ему человека Ипполита Матвеевича, по дате регистрации страница старше самого Вани, а на данный момент Ипполита и вовсе нет в живых и, разумеется, его номер попал за неуплату в повторную продажу или в оборот для таких сервисов. По итогу Ваня становится владельцем страницы покойного Ипполита и не имея никакого злого умысла, после того как Маша его "на Ипполите" отшила, просто постит на стене бывшей страницы Ипполита мемы про My Little Pony. Родственники заметив воскресшего Ипполита, вкусы которого после перерождения стали весьма специфичны, пытаются через техподдежку вернуть доступ к его странице, но профнепригодная техподдержка посылает их на 9 кругов ада по сбору документов, а потом и вовсе пишет стандартные отписки. А после всего этого просто предлагает удалить профиль Ипполита "с концами", наплевав на разумное требование вернуть всё как было, ведь страница для родных дорога как память об Ипполите.
История 3. Коля был призван по частичной мобилизации, и так как у мобилизованных нет возможности пользоваться мобильными телефонами, многие номера уже по сроку неиспользования могли поступить в свободную продажу и в "оборот" во всяких сервисах. Ципсошная ботоферма закупая данные номера в своих целях в итоге попала на страницу Коли и стала использовать её в информационной войне и распространении фейков, что привлекло внимание органов и ими были возбуждены уголовные дела на Колю, как законного владельца этой страницы. Коля, ничего не подозревая и считая, что его страница была надежна обезопашена длинным и сложным паролем, получает дополнительный ворох проблем.
Как видите, теперь любой человек может играть "в лотерею" от создателей VK ID абсолютно легальными методами.
Теперь переходим к разделу, посвященному работе техподдержки и новому "распиаренному" сервису.
В обоих диалогах разработчики и техподдержка в этом ничего плохого не увидели, несмотря на моё подробное описание данной проблемы и неверности данного подхода. Их не заинтересовали даже предоставленные мной простые пути решения (на скриншотах выделены зеленым, "финальные" отписки разрабов выделены красным).
Прикладываю мой диалог с техподдержкой относительно данной дырищи. Комментировать излишне не буду - смотрите всё сами, остановлюсь только на словах: безалаберность, некомпетентность, разгильдяйство, вредительство, профнепригодность, халатность.
Как видно на скринах, "пообщаться" мне удалось не с одним конкретным агентом, а с достаточным количеством, и говорить что это ошибка конкретного агента уже не уместно. Это проблема уже в самой компании ВК!
Прикладываю также мои скриншоты по сути монолога с bug bounty. Результат общения с ними примерно тот же что и с обычной техподдержкой. Отличаются только тем, что они слишком "заняты" даже на отписки и всячески тянули кота за хвост, пока не вышло отведенное мной время, и только тогда все же разродились на ответ в стиле "не баг, а фича", что собственно и отвечала техподдержка, правда гораздо оперативнее.
Видимо, эта программа создавалось исключительно с целью пиара VK компании, дабы подчеркнуть как они заботятся о безопасности, что, как оказалось, не соответствует действительности. Помимо этого по моим наблюдениям разработчики смотрят отчеты только в "будние дни", что также говорит об отношении компании к безопасности сервисов. Ведь во многих уважающих себя компаниях специалисты по ИБ работают круглосуточно и должны реагировать на заявки оперативно. А может они свято уверены, что хакеры и злоумышленники тоже только по будним дням работают?
Как бы там ни было, прикладываю запись с воспроизведением данной дырищи, созданную с целью её показа разработчикам, но их не заинтересовавшую, в которой используется исключительно заложенный разработчиками ВК функционал сайта.
Подведем итоги:
Как показывает практика, доверять свои личные данные (и неличные тоже) ВК не стоит. Компания и её разработчики, ни на что кроме разработки никому не нужных мусорных сервисов и редизайнов с угроблением ui интерфейса не способна. Они даже умудрились сломать наследие команды Дурова по части защиты пользовательских данных, в которых случайный человек, купивший номер телефона, не мог попасть на страницу старого владельца, даже при сбросе пароля там требовалось указать фамилию и имя аккаунта и другую информацию, которая в случае выше описанных случайных заходов спасала старого владельца.
Как мы можем помочь исправлению данной ситуации? Самый очевидный вариант, поднять волну в сети и растиражировать данную статью, чтобы у разработчиков не осталось иного выбора, как перестать закрывать глаза на проблему. В идеале против компании ВК ещё должен быть подан коллективный иск по части умышленных действий с целью утечек пользовательских данных, по результатам которого пострадавшим пользователям поступили бы компенсации, и в бюджет РФ огромный штраф за несоблюдение закона о защите персональных данных.