Как потерять аккаунт и сообщество из-за дыр в безопасности «ВКонтакте» и Tele2
Новая история с мошеннической схемой.
На прошлой неделе сразу две крупнейшие компании - Вконтакте и Теле2 - доказали свою полную несостоятельность в обеспечении сохранности личной информации.
Началась эта история в лучших традициях блокбастеров: у мужа прямо во время разговора с клиентом прервалась связь. Через считанные минуты социальная сеть отказала в доступе, и после нескольких неудачных попыток входа закрались мысли о том, что кто-то смог получить дубликат SIM-карты, что подтвердил телефонный оператор. За это время аккаунт Вконтакте был переведён на другой номер телефона и привязан к новой электронной почте. Лишившись "симки" на несколько минут, пользователь полностью потерял доступ к странице, беспомощно читая сообщения на почте о том, что аккаунт был присоединён к другому адресу. В сообщении от соцсети даже не было обязательной в таком случае ссылки, на которую можно перейти, если заявку отправили не вы.
Зачем утруждаться? Вконтакте уверил нас с вами, что защита страницы с помощью номера телефона, на который вы получаете код доступа, самая надежная и безупречная. Не предусмотрено даже проверочное слово, которое вводится при создании Яндекс-почты или онлайн-банка.
При попытке восстановить аккаунт, техподдержка Вконтакте, работающая чуть быстрее улитки, запросила паспортные данные, фотографию владельца страницы, по которой можно было удостовериться, что она соответствует ранее размещенным фотографиям пользователя. Одновременно на нового "владельца" странички сыпались жалобы друзей. Служба работала сутки, а потом выдала гениальный ответ, что по имеющейся у неё информации, пользователь добровольно передал свой аккаунт и поэтому доступ получить не сможет.
Новый запрос с просьбой предоставить такие данные рассматривался около 2 дней. За такой срок злоумышленники могут воспользоваться любыми возможностями аккаунта: начиная от конфиденциальной переписки до групп, созданных предыдущим владельцем.
На этот раз целью атаки было сообщество Вконтакте численностью более полумиллиона человек. Паблик по психологии был создан мужем ещё на заре существования соцсети в качестве хобби, а потом разросся в востребованное сообщество с отличной структурой, многочисленными обсуждениями и слаженной работой админов. В настоящий момент такие группы могут приносить регулярный доход от продажи рекламы, а стоимость самого паблика с такой численностью подписчиков по неофициальным данным составляет более миллиона рублей. Не буду подробно останавливаться на том, сколько сил и средств было вложено в проект: каждый, кто пробовал создать и вести даже небольшую группу, представляют масштаб необходимых затрат.
Как удалось выяснить в сотовой компании Теле-2, карта была получена по доверенности. Никаких дополнительных данных они не дали, а ответа за запрос придется ждать 30 дней. По прошествии недели никто даже не позвонил и не узнал, что же случилось. Пришлось действовать самостоятельно, и через знакомых мы узнали адрес салона, выдавшего симку. Муж не поленился и сходил туда.
Ему выдали доверенность, в которой действительно были указаны данные мужа и фирмы - то есть информация, которую при желании можно найти в интернете. Зато и печать, и подпись были поддельные. Да и сама доверенность сделана "на коленке", что видно невооруженным взглядом. Будь сотрудники Теле2 чуть внимательнее, они бы сразу это увидели. Фирма в трех местах называется совершенно по-разному, а доверяет получение симки вообще не организация, где работает муж, а некий ООО "Фикс".
Что касается подписи и печати, то никто их даже не проверяет. Выяснилось, что у крупнейшего сотового оператора, по словам их представителя, "нет технической возможности сверки подписи", а это значит, что любой человек может прийти с поддельной доверенностью и получить номер любого абонента. Правда, речь идет только о корпоративных номерах. К счастью для физических лиц и несчастью для юридических, обычно это можно сделать только с нотариальной доверенностью, которая, однако, не требуется в случае с привязкой номера к фирме, что по меньшей мере странно.
После того, как в службу поддержки Вконтакте была отправлена фотография поддельной доверенности, они хотя бы начали диалог и запросили от нас документ от Теле-2, где компания должна написать, где, в какое время и кому была выдана симкарта (без ведома мужа). НИКОГДА Теле-2 не даст такую бумагу, но мы хотя бы надеемся, что они выдадут документ с указанием имени мошенника и доверенности, а уже полиция подтвердит, что она поддельная.
Сейчас все запутано, полиция до сих пор не завела дело, ни о каком поиске мошенников даже не идет речь. Видимо, придется жаловаться в прокуратуру за бездействие. А аккаунт и паблик теперь так и висят заблокированные и ждут своего часа. Продолжение следует...
Есть какие-нибудь результаты?
Результат такой, что после предоставления копии фальшивой доверенности Вконтакте хотя бы заморозил аккаунт и паблик. Теле2 спустя три недели выдали бумагу с перечнем выданных в тот день сим-карт. А еще они "извинились" в личном сообщении, оценив наш ущерб в 1000 руб.
Теперь мы ждем заведения дела в полиции, которая сначала тянула до последнего, а потом выдала гениальный ответ в духе "вдовы, которая сама себя высекла". Несмотря на заявление, что доверенность поддельная, и печать с подписью не настоящие, оперативник без всякой проверки выдал вердикт, что документ был дан мошеннику в фирме, моим же мужем, и состава преступления не обнаружено. Ждем теперь ответа от прокуратуры, которая отвечает 30 дней.
Очень печальная история. Уже не первый раз слышу такую историю и возникает вопрос, как Вконтакте видит выход из этой ситуации. Совершенно точно, что обладая определенным желанием и знакомствами, можно увести у любого человека номер и сделать много-много разных вещей, не только угнать аккаунт ВК.
Напрашивается некий механизм однозначной идентификации, не привязанный к телефону или другим данным, которые можно достаточно легко украсть в наш век. А также механизм проверки подлинности транзакции передачи прав на аккаунт, хотя бы в виде уникальной фразы.
Полностью согласна! Почему-то тот же Яндекс давно догадался о проверочных словах, чтобы вернуть аккаунт. И откуда ВК взял эту формулировку "добровольная передача"? Просто так никто никогда ничего не отдает.
Комментарий недоступен
Извините, а что это, где она осуществляется? Я знаю, что ВК есть двухэтапная авторизация, но она опять же предполагает наличие телефона, на который придет Смс. Вот и получилось, что такая защита не спасает в случае кражи телефона или номера