Приёмная Anastasia Shestakova
10 728

Как потерять аккаунт и сообщество из-за дыр в безопасности «ВКонтакте» и Tele2

Новая история с мошеннической схемой.

В закладки
Аудио

На прошлой неделе сразу две крупнейшие компании - Вконтакте и Теле2 - доказали свою полную несостоятельность в обеспечении сохранности личной информации.

Началась эта история в лучших традициях блокбастеров: у мужа прямо во время разговора с клиентом прервалась связь. Через считанные минуты социальная сеть отказала в доступе, и после нескольких неудачных попыток входа закрались мысли о том, что кто-то смог получить дубликат SIM-карты, что подтвердил телефонный оператор. За это время аккаунт Вконтакте был переведён на другой номер телефона и привязан к новой электронной почте. Лишившись "симки" на несколько минут, пользователь полностью потерял доступ к странице, беспомощно читая сообщения на почте о том, что аккаунт был присоединён к другому адресу. В сообщении от соцсети даже не было обязательной в таком случае ссылки, на которую можно перейти, если заявку отправили не вы.

В письме нет ссылки, по которой можно опротестовать перевод аккаунта на другую почту. Непонятен смысл такого уведомления: если человек делает это по доброй воле, вряд ли ему нужна эта информация. Анастасия Шестакова

Зачем утруждаться? Вконтакте уверил нас с вами, что защита страницы с помощью номера телефона, на который вы получаете код доступа, самая надежная и безупречная. Не предусмотрено даже проверочное слово, которое вводится при создании Яндекс-почты или онлайн-банка.

При попытке восстановить аккаунт, техподдержка Вконтакте, работающая чуть быстрее улитки, запросила паспортные данные, фотографию владельца страницы, по которой можно было удостовериться, что она соответствует ранее размещенным фотографиям пользователя. Одновременно на нового "владельца" странички сыпались жалобы друзей. Служба работала сутки, а потом выдала гениальный ответ, что по имеющейся у неё информации, пользователь добровольно передал свой аккаунт и поэтому доступ получить не сможет.

Новый запрос с просьбой предоставить такие данные рассматривался около 2 дней. За такой срок злоумышленники могут воспользоваться любыми возможностями аккаунта: начиная от конфиденциальной переписки до групп, созданных предыдущим владельцем.

На этот раз целью атаки было сообщество Вконтакте численностью более полумиллиона человек. Паблик по психологии был создан мужем ещё на заре существования соцсети в качестве хобби, а потом разросся в востребованное сообщество с отличной структурой, многочисленными обсуждениями и слаженной работой админов. В настоящий момент такие группы могут приносить регулярный доход от продажи рекламы, а стоимость самого паблика с такой численностью подписчиков по неофициальным данным составляет более миллиона рублей. Не буду подробно останавливаться на том, сколько сил и средств было вложено в проект: каждый, кто пробовал создать и вести даже небольшую группу, представляют масштаб необходимых затрат.

Как удалось выяснить в сотовой компании Теле-2, карта была получена по доверенности. Никаких дополнительных данных они не дали, а ответа за запрос придется ждать 30 дней. По прошествии недели никто даже не позвонил и не узнал, что же случилось. Пришлось действовать самостоятельно, и через знакомых мы узнали адрес салона, выдавшего симку. Муж не поленился и сходил туда.

Ему выдали доверенность, в которой действительно были указаны данные мужа и фирмы - то есть информация, которую при желании можно найти в интернете. Зато и печать, и подпись были поддельные. Да и сама доверенность сделана "на коленке", что видно невооруженным взглядом. Будь сотрудники Теле2 чуть внимательнее, они бы сразу это увидели. Фирма в трех местах называется совершенно по-разному, а доверяет получение симки вообще не организация, где работает муж, а некий ООО "Фикс".

Что касается подписи и печати, то никто их даже не проверяет. Выяснилось, что у крупнейшего сотового оператора, по словам их представителя, "нет технической возможности сверки подписи", а это значит, что любой человек может прийти с поддельной доверенностью и получить номер любого абонента. Правда, речь идет только о корпоративных номерах. К счастью для физических лиц и несчастью для юридических, обычно это можно сделать только с нотариальной доверенностью, которая, однако, не требуется в случае с привязкой номера к фирме, что по меньшей мере странно.

После того, как в службу поддержки Вконтакте была отправлена фотография поддельной доверенности, они хотя бы начали диалог и запросили от нас документ от Теле-2, где компания должна написать, где, в какое время и кому была выдана симкарта (без ведома мужа). НИКОГДА Теле-2 не даст такую бумагу, но мы хотя бы надеемся, что они выдадут документ с указанием имени мошенника и доверенности, а уже полиция подтвердит, что она поддельная.

Сейчас все запутано, полиция до сих пор не завела дело, ни о каком поиске мошенников даже не идет речь. Видимо, придется жаловаться в прокуратуру за бездействие. А аккаунт и паблик теперь так и висят заблокированные и ждут своего часа. Продолжение следует...

#вконтакте #теле2 #утечкаданных #конфиденциальность #Теле2 #утечкиданных

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Anastasia Shestakova", "author_type": "self", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u0443\u0442\u0435\u0447\u043a\u0430\u0434\u0430\u043d\u043d\u044b\u0445","\u0442\u0435\u043b\u04352","\u043a\u043e\u043d\u0444\u0438\u0434\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u044c","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435"], "comments": 42, "likes": 33, "favorites": 11, "is_advertisement": false, "subsite_label": "claim", "id": 55611, "is_wide": false, "is_ugc": true, "date": "Wed, 16 Jan 2019 14:54:41 +0300" }
{ "id": 55611, "author_id": 242330, "diff_limit": 1000, "urls": {"diff":"\/comments\/55611\/get","add":"\/comments\/55611\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/55611"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199124, "possessions": [] }

42 комментария 42 комм.

Популярные

По порядку

Написать комментарий...
0

Есть какие-нибудь результаты?

Ответить
1

Результат такой, что после предоставления копии фальшивой доверенности Вконтакте хотя бы заморозил аккаунт и паблик. Теле2 спустя три недели выдали бумагу с перечнем выданных в тот день сим-карт. А еще они "извинились" в личном сообщении, оценив наш ущерб в 1000 руб.

Ответить
1

Теперь мы ждем заведения дела в полиции, которая сначала тянула до последнего, а потом выдала гениальный ответ в духе "вдовы, которая сама себя высекла". Несмотря на заявление, что доверенность поддельная, и печать с подписью не настоящие, оперативник без всякой проверки выдал вердикт, что документ был дан мошеннику в фирме, моим же мужем, и состава преступления не обнаружено. Ждем теперь ответа от прокуратуры, которая отвечает 30 дней.

Ответить
3

Очень печальная история. Уже не первый раз слышу такую историю и возникает вопрос, как Вконтакте видит выход из этой ситуации. Совершенно точно, что обладая определенным желанием и знакомствами, можно увести у любого человека номер и сделать много-много разных вещей, не только угнать аккаунт ВК.

Напрашивается некий механизм однозначной идентификации, не привязанный к телефону или другим данным, которые можно достаточно легко украсть в наш век. А также механизм проверки подлинности транзакции передачи прав на аккаунт, хотя бы в виде уникальной фразы.

Ответить
1

Полностью согласна! Почему-то тот же Яндекс давно догадался о проверочных словах, чтобы вернуть аккаунт. И откуда ВК взял эту формулировку "добровольная передача"? Просто так никто никогда ничего не отдает.

Ответить
1

С проверочными словами есть очень большая проблема... На своем примере: Часть из моих аккаунтов создана много-много лет назад. Я совершенно не помню большинство из них. Какие-то записывал - но эти записи уже потерял. В итоге все свелось к использованию одного и того же слова (сложного, практически случайного), что при определенных условиях - не сильно большая альтернатива. В моем случае угадать его невозможно, но... один из методов такого взлома (когда есть необходимость) - это взлом других, менее защищенных аккаунтов, которые потенциально могут принадлежать, и подсматривание слова там. В каких-то случаях они могут совпасть - и тогда пользы не очень много.

Ответить
2

Есть один вопрос: двухэтапная авторизация (по Google Authenticator) была включена или нет?

Ответить
0

Извините, а что это, где она осуществляется? Я знаю, что ВК есть двухэтапная авторизация, но она опять же предполагает наличие телефона, на который придет Смс. Вот и получилось, что такая защита не спасает в случае кражи телефона или номера

Ответить
1

Настройки - Безопасность - Подтверждение входа - Подключить. Там не через sms, а через специальное приложение Google Authenticator на телефоне. Увод симки будет бесполезен, но телефон лучше не терять.

Ответить
0

А если вход осуществляется также через компьютер? И с этой защитой, думаете, мошенник не смог бы зайти?

Ответить
3

Хотя я сейчас протестил, там тупая система конешн... При подключении этого способа всё-равно оставляют возможность по sms-коду зайти и я не вижу как это отключить.

Ответить
1

При любом входе надо будет открыть приложение на телефоне и там получить одноразовый код, который ручками ввести после логина и пароля. Без кода не пустит просто.

Ответить
0

Спасибо за наводку! Изучим этот вопрос! А если они запросили восстановление через смс?... Вот, прочла ваше новое сообщение. И я о том же. Опять же привязка к телефону.

Ответить
1

Ну тогда да, как советовали выше - для регистрации на важных сервисах иметь отдельную симку и отдельную почту, которые нигде больше не светить. Угон основной симки и основной почты не повлечёт за собой больших потерь.

Ответить
1

А потом еще следить чтобы эту симку не удалили за отсутствие активности

Ответить
0

Да, если и ее не вычислят.

Ответить
0

ну вы понимаете что там через интернет на телеф приходит код!

Ответить
1

Именно поэтому для действительно важных аккаунтов нужно иметь отдельный номер телефона, который нигде, кроме этих аккаунтов, не используется.

В данной ситуации понять ВКонтакте можно. Возможно, одновременно с поддельной доверенностью был изготовлен поддельный договор, по которому права на аккаунт были переданы. Вы же сами говорите, что его цена - 1 миллион рублей, вот и мошенники могли обосновать передачу таким договором с поддельным (или краденым) паспортом. А пока идет разбирательство - по-быстренькому перепродать его, и пусть уже новый владелец с вами возится. Раньше так с квартирами было, ничего нового.

А вот если такой скрытый номер убежит, то тут может быть только три подозреваемых (в отличие от миллионов с открытым номером):

1. Кто-то из своих. Такое тоже случается, тем более что номер принадлежит компании. Может прозвучать как паранойя, но в таких случаях вполне можно использовать различные схемы, когда номер регистрируется на какого-нибудь надежного сотрудника, он пишет доверенность и все это уходит в банковскую ячейку с контролем доступа. Мало ли что может с сотрудником случиться, поэтому при необходимости работодатель может извлечь доверенность. Но если утечка произойдет, всегда можно посмотреть - кто обращался в ячейку. Доверенность, конечно, можно отозвать, поэтому важно назначать именно ответственного сотрудника. Ну и стоит почитать договор с оператором, может вся эта схема незаконна. Преследовать оператор вряд ли будет, но в конфликтных случаях доступ можно потерять.

2. Сотовый оператор. Я не очень знаком с возможностями CRM различных сотовых сетей, но подозреваю, что при наличии паспортных данных, любой сотрудник любого салона может эти данные получить. Не говоря уже об утекших базах данных. Но если не знаешь, на какого именно сотрудника (см. п. 1) зарегистрировано

3. Сам Вконтакте. Вряд ли его сотрудники будут рисковать и предоставлять номер, но есть разные варианты, включая скрытые уязвимости и какие-то ошибки в коде, через которые можно данные выкачать. Тут я полностью согласен со статьей - ВКонтакте должен был предусмотреть процедуру оспаривания и возможность отмены перепривязки. Но представьте, если это делается в связи с тем, что телефон или email был украден? Получается, что злоумышленник, обладающий доступом к вашим коммуникациям, может очень быстро отменить такое переназначение.

Видимо вопрос тут скорее организационно-правовой - подобный сервис должен иметь возможность запретить (именно такую опцию) передачу аккаунта без личного присутствия и/или предоставления каких-либо документов, возможно с нотариальным присутствием. Соответственно, отключение такой опции - аналогично, только через личное присутствие. Процедура сложная, но при управлении чем-то ценой с бюджетную машину, вполне можно потерпеть неудобства.

Вам же желаю скорейшего восстановления доступа, и множество благодарностей за придание случаю публичности, чтобы те, кто действительно дорожат учетками, приняли меры к их защите!

Ответить
1

Спасибо за поддержку!

Ответить
1

Вряд ли его сотрудники будут рисковать и предоставлять номер

ох, там тоже люди. кибер крайм отовсюду данные достает за $$$, также может быть соц инжинерия и т.д.

Ответить
0

согласен, риск есть... но тогда угоны популярных пабликов были бы постоянны. Но возможно, там правда не $, а $$$, так что овчинка не всегда выделки стоит.

Ответить
1

Я почитала вашу статью, вы все правильно пишете. Но тут номер абсолютно рабочий, по нему даже разговаривали в то время, как мошенник получал копию. И потом все обрубилось. Но за то время, пока мы соображали, что к чему, вор успел все сделать.

Ответить
1

За всех не скажу но в билайн реализовано интересно.

При получении дубликата симкарты, на ней на 24 часа блокируются поступления всех входящих смс.

Если у вас в сервисах стоит смс подтверждение и у вас билайн можете спать почти спокойно.

Ответить
0

Очень интересно, но есть и проблема... Если, например, у меня украли телефон, я срочно получаю дубликат, и мне срочно нужно зайти в онлайн-банк (например, заблокировать карты - причины разные, от отсутствия кодового слова в банке - пока гром не грянет... до отсутствия карт с собой, чтобы позвонить в определенные банки, где это обязательно), который пришлет смс-подтверждение на мой телефон, который его просто не примет?

Ответить
1

Вам не угодить. Блокировка Карты через приложение и Пуш уведомление или через офис, если ваш банк не втб конечно

Ответить
0

Я не требую угождения :)

Какое же приложение, если у меня телефон украли? :))))

Ответить
0

Статья на эмоциях конечно , подписи и печати проверять, ну вы что.

Ответить
1

А для чего тогда эти доверенности, если каждый желающий может их сделать? Но даже без проверок подписей и печати в той доверенности видно, что она составлена некорректно. Вообще непонятно, кто кому доверяет. И если бы сотрудник Теле2 хотя бы удосужился прочитать документ, у него бы закрались сомнения.

Ответить
0

да ни для чего... паспорт тоже в современном мире не является средством идентификации, по крайней мере для обывателя, может сотрудники аэропортов что-то там шарят, а обычный вася в салоне... ну спросит "а это точно вы?", ну и все...

Ответить
0

Получается, вообще никакой безопасности и никаких гарантий...

Ответить
1

Размер затрат на обеспечение безопасности всегда прямо пропорционален стоимости защищаемого актива. Т.е. чем ценнее информация, тем сильнее (и дороже) должна быть защита. Вплоть до такой степени, что-бы усилия на обход этой защиты для злоумышленника были просто невыгодны.
Если стоимость группы исчисляется в миллионах рублей, то даже отдельный аккаунт, отдельная симка и отдельная почта только под этот аккаунт, отдельные телефон и компьютер (ну или хотяяяя бы виртуальная машина), с которых ничего кроме управления этим аккаунтом и этой группой не делается, не кажутся мне такими уж бредовыми идеями.
И если в физическом мире все давно привыкли покупать дверь покрепче как только в квартире появляются ценности и сигналку подороже при апгрейде машины, то к цифровому миру, увы, такой привычки пока не выработалось.

Ответить
0

Александр, наверное, вы правы. Но даже при таком раскладе мы остаемся зависимы от сим-карты.

Ответить
0

По умолчанию люди не должны совершать преступления.

Ответить
0

Извини, но мы живем в России..(
2019 год, диджитал, безопасность, роботы...
Жесть.
Держись!

Ответить
1

Спасибо! И я все-таки верю, что мы можем что-то изменить, если будем говорить об этом.

Ответить
0

Теле2 в своей опере..у них всегда работали подобные схемы, которые давно закрыли все остальные операторы

Ответить
0

Насколько я поняла, такая история возможна с любым оператором. Например, недавно тут же писали о другой схеме мошенничества, еще более простой. В МТС

Ответить
–1

Anastasia, здравствуйте! Я официальный представитель компании Tele2 Россия в социальных сетях. Напишите, пожалуйста, нам в личку в любой социальной сети (https://vk.me/tele2 , https://facebook.com/Tele2Russia/, https://twitter.com/Tele2Russia, https://ok.ru/tele2) номер телефона и ссылку на эту статью. Мы постараемся во всем разобраться!

Ответить
0

Спасибо, напишу. К сожалению, уже прошла неделя со дня подачи заявления в вашу компанию, и ничего еще не было сделано. Сегодня муж разговаривал с вашей службой безопасности. Такое равнодушие очень расстраивает

Ответить
0

Написала вам, но ничего не происходит. Отношение Теле2 к клиентам оставляет желать лучшего.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Нейронная сеть научилась читать стихи
голосом Пастернака и смотреть в окно на осень
Подписаться на push-уведомления
{ "page_type": "default" }