ВК халява или обмен пароля на стикеры

в 11:39, , рубрики: безопасность, Вконтакте, информационная безопасность, слив данных, Социальные сети и сообщества

Привет! Все вы знаете о такой абстрактной вещи как "халява". Возможность получить какую-то вещь бесплатно, пусть даже ненужную, собирает в интернете целые форумы единомышленников. Часть из этих предложений требуют неких активных действий, таких как регистрация, прохождение тестов, ввод данных. И по большей части это взаимовыгодный обмен как для фирмы (получение данных о целевой аудитории), так и для человека (бесплатная безделушка). Но в некоторых случаях люди предоставляют многие личные данные взамен на магнитик/кружку/блокнотик. И этими данными могут воспользоваться.

Стикеры ВК — занятная вещь, не правда ли? Красивые односложные ответы, оформленные в виде картинок, которыми можно отвечать в диалогах. Многие тратят деньги за возможность получить стикеры а некоторые получают их бесплатно, и именно возможность получить стикеры (то чем ты редко будешь пользоваться будешь ли?) бесплатно подкупает.

Сегодня мне пришло сообщение от одного из друзей вк о возможности получения бесплатных стикеров.

image

При отправке сообщения боту он пишет чтоб вы поставили лайк и отправили ему сообщение. Пробуем просто отправить ему собщение.

image

Всё прошло. Теперь он просит отправить сообщение 15 друзьям и написать ему. Пробуем просто написать ему

image

Пишет, что мы жульничаем, но мы понимаем что бот без подтверждения через вк апи и получения прав доступа не сможет читать наши сообщения, пробуем просто написать «Выполнил» и ура, осталось перейти по непонятной ссылке и получить стикеры.поднял бабла, стали другими дела

image

При переходе на ссылку, после редиректов нас выкидывает на неплохо визуально оформленный сайт с предложением войти через вконтакте чтобы наконец уже получить заветные стикеры.

image

При нажатии на кнопку идёт переход на страницу с модальным окном входа и уже установленным фавиконом из вконтакте. Внимательный пользователь заметит неверный адрес в адресной строке и то, что ранее мы уже были авторизованы вк. Данные отсылаются POST запросом на этот же адрес.

image

Идём во встречу, на которую нам присылали ссылку

image

В ссылках — реальная страница «Кока-кола», а организатор встречи — левая закрытая группа. Но оформлено всё более чем правдоподобно.

Что мы имеем:

Более 15000 просмотров записи, более 3400 лайкнувших запись, а значит отписавших боту.

Возможно это самый крупный слив данных ВК за этот год. В поддержку я уже отписал, жду ответа.

UPD: Написал в поддержку и через минут 15

image

Какой-то вывод? А нет его. Вспоминая знаменитую фразу Мавроди, люди, относящиеся к вопросу своей безопасности лояльно, не кончатся никогда, можно сделать предположение что похожих групп будет создано много. А что касается защиты — достаточно помнить слова венеролога: смотрите что и куда вводите.

Автор: Leo08

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js