Дмитрий Евтеев, ранее находивший ошибки в безопасности настроек индексирования сайта заказа железнодорожных билетов, не так давно продемонстрировал в своём блоге особенность в построении систем восстановления пароля, которая при совпадении нескольких условий позволяла узнать номер мобильного телефона любого пользователя, имеющего аккаунты в двух-трёх популярных сервисах социальных сетей. На данный момент уязвимость частично исправлена.
Некоторое время назад «В Контакте» требовал на добровольной основе (а по сути — принудительно заставил) своих пользователей зарегистрировать номер мобильного телефона для возможности в будущем быстро восстановить доступ к аккаунту. В некотором роде это также помогло решить проблему массовых спам-рассылок внутри сайта.
«В Контакте» обещает, что телефонный номер «нигде не выводится». Но это совсем не так, достаточно адреса электронной почты жертвы, и злоумышленник мог получить первые семь цифр номера.
Если у вас есть аккаунт «Гугла», то с адресом электронной почты можно будет узнать ещё и две последние цифры. Таким образом круг сужается до 100 номеров — количество, которое не так тяжело перебрать.
Если же пользователь также зарегистрирован в «Фейсбуке» (чего есть ненулевая вероятность) и злоумышленник обладает адресом электронного ящика, с которым ассоциирована учётная запись, то можно установить финальные последние четыре цифры телефонного номера.
Таким образом разный подход к подсказке последних цифр мобильного телефона, на который можно восстановить пароль аккаунта, мог привести к возможности пополнения спам-базы для СМС-рассылок или взлому в стиле ситуации Мэта Хонана.
Интересно, что кроме указанного Дмитрием «В Контакте» первые семь цифр показывали сервисы «Одноклассники» и «Мейл.ру». Пользуясь последним сайтом, получить данные особенно просто: адрес электронной почты можно установить по УРЛ «Моего Мира», а в диалоге восстановления пароля нет даже капчи.
На данный момент благодаря быстрой реакции техподдержек двух из трёх отечественных сайтов социальных сетей «В Контакте» показывает две последние цифры и код страны, а «Одноклассники» скрыл номер пользователя совсем. Из-за медлительности третьего некоторым пользователям придётся отвязать свой телефонный номер от аккаунта «Мейл.ру» или удалить его из аккаунта «Фейсбука».
Заинтересованным в безопасности собственных личных данных хочется в очередной раз посоветовать использовать для регистрации на сайтах отдельный ящик электронной почты с неочевидным именем.
Автор: FakeFactFelis