Как завладеть чужим аккаунтом Wildberries, Premier, «Ленты» или других сервисов
Есть серьезная проблема регистраций аккаунтов на пару номер телефона + код из смс без пароля. Случайным образом вы можете завладеть чужим аккаунтом с банковскими данными и адресами.
Заведя аккаунт с помощью номера телефон без пароля на разных сайтах — Wildberries, онлайн-кинотеатре Premier, сервисах по доставке готовой еды типа «Додо пиццы» и продуктов вроде «Ленты» (на момент написания поста) и др. — и впоследствии спустя какое-то время по какой-то причине лишившись этого номера телефона, вы фактически потеряете доступ к своим аккаунт на этих сайтах. Оператор изымает номер и он уходит в оборот, если вы не пользовались им определенное время.
Хорошо, если вы озадачились и заранее сменили везде привязанные номера.
А что, если нет?
В лучшем случае вы скорее обратитесь в поддержку и, возможно, получится восстановить доступ. Но что, если вы даже не в курсе о неактуальности вашего номера? Новый владелец номера получит доступ ко всем вашим аккаунтам, где для авторизации достаточно пары номер телефона + код из смс.
Здравомыслящий человек удалит ваш аккаунт и создаст чистый аккаунт заново. Но много ли таких людей?
Не все сервисы удаляют данные полностью. В Wildberries после деактивации и создания нового аккаунта остаются товары в корзине и избранном бывшего владельца
На маркетплейсах, онлайн-кинотеатрах, сервисах доставки еды привязываются банковские карты, есть домашние адреса. Воспользоваться этим — проще простого. В некоторых случаях не нужно вводить никакие защитные коды с карты — достаточно нажать кнопку «оплатить».
В погоне за простотой доступа многие сервисы упрощают такую важную вещь, как регистрация аккаунта. Так и появилась мода на регистрацию по номеру телефона. Wildberries, Premier, доставки еды и пр. подобные сервисы не имеют традиционных методов регистрации по email.
Сервис, где не предусмотрен пароль, является ненадежным
Номер телефона принадлежит оператору связи. И если им не пользоваться какое-то время, то оператор имеет право выставить номер на продажу. Доступ к email потерять в разы труднее. Если его не труднее взломать, то современные системы защиты и восстановления устроены так, что вернуть свой email очень просто.
Я согласен, что регистрация по номеру телефоне бывает проще. Но в таком случае обязательно нужен пароль. Пароль, если не спасет аккаунт (новый владелец номера может обратиться в службу поддержки и зарегистрировать новый аккаунт на ваш бывший номер), то хотя бы обезопасит ваши данные от стороннего доступа.
В Shazam для Android есть уникальный метод авторизации. В нем нет пароля, вместо него используются коды, которые приходят на email. Такой метод является отличной альтернативой регистрации на номер
Я надеюсь, что сайты и приложения, в которых предусмотрена только регистрация по номеру и нет пароля, увидят этот пост и внедрят то, что обезопасит их пользователей от нежданного сеанса.
P.S. Я мог бы еще добавить про вред OAuth-авторизации, но это совсем другая история.
Все выводы на этом канале вы делаете не сами...