Какое-то время назад я не смог больше авторизоваться в Вконтакте. Мне сообщают, что моя страница взламывалась и теперь мне нужно обязательно ввести пароль.
И что же здесь криминального?
Для начала я попробовал вход в мобильную версию и через мобильное приложение, где одинаково после авторизации возвращалось «Неизвестная ошибка».
Затем я попробовал включить в браузере режим «инкогнито», где отключены кукисы, и снова попытаться зайти. Ввел логин-пароль и снова попал на такую страницу. То же я повторил такую операцию на разных браузерах и компьютерах, откуда я точно никогда не входил во вконтакт.
Какой из этого я сделал вывод:
- Я все еще могу зайти по своему старому паролю, он работающий.
- Сайт не отличает меня от злоумышленника, как если бы мог, воспользовавшись старыми кукисами.
- Любой человек, знающий мой логин-пароль может ввести свой номер телефона и «восстановить» доступ.
Следовательно, возникает вопрос: а что такое взлом? Если злоумышленник знал мой пароль, значит, взлома как такового и не было, все действия тогда рассматриваются так, как-будто я все делал сам. Значит, злоумышленник не знает мой пароль. Вопрос: что тогда произошло, что вконтакт насторожился? Как мою страницу пытались взломать? Да и была ли эта попытка взлома или это просто наглая попытка обновить мой номер телефона?
Интересности
Ну я же программист, мне же интересно поковыряться немношко. После авторизации и просмотра страницы о подтверждении номера телефона я нажал «назад» в браузере. И что я там увидел? Кто нам скажет?
Я увидел там свою страницу, но не всю, а только левое меню, где горели счетчики новостей из приложений и непрочитанных сообщений. И сразу же происходило перенаправление на надоевшую страницу. Может быть, если сниффером захватить траффик, можно будет найти текст нового сообщения. Я попробовал «повозвращаться» в других браузерах и с инкогнито, но тоже видел свою страницу, то есть, содержание меню не было связано с кешем или чем-нибудь еще.
Вторую интересность я нашел, когда нажал «выйти» (из вконтакта) в своем обычном браузере. На показаной странице регистрации я увидел вот что:
В третьем поле формы регистрации надо было указать пол. Если удалить кеш и кукисы браузера или зайти на эту страницу инкогнито — то на той же странице поля про указания пола вовсе не наблюдается.
Итоги и вопросы
Сайт не отличает меня от злоумышленника, как если бы мог, воспользовавшись наличием старых кукисов.
Зачем-то в новой регистрации и старых кукисах просит указать пол… Зачем?
Так что же такое произошло со страницей, если злоумышленник не узнал мой пароль?
Почему Вконтакте не предлагает других способов восстановления пароля?
Вводить свой номер телефона я пока не стал. «Ишь, чего захотел!» (с) Гомер Симпсон.
Почему Вконтакте не предлагает никакой обратной связи для пользователей, «потерявших контроль»?
Автор: kelegorm