Как взломать пароль ВКонтакте?

Как взломать пароль ВКонтакте?
Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения  безопасности . Как выяснилось, не зря.

Наш исследовательский центр  Positive Research  посмотрел, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекс. Причем не путем технических атак, а только с помощью социальной инженерии. 

Википедия  описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов. 

Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать. Способов существует много. Но нам было интересно другое. Мы хотели проверить, насколько реально получить доступ к аккаунту пользователя, используя только общедоступную информацию, которую можно найти в интернете. Без взаимодействия с пользователем. Без технических изысков. Без уязвимостей «нулевого дня».


Назад в будущее. «Вконтакте», Google, Mail.Ru

Нам удалось получить доступ к аккаунтам всех этих сервисов. 
В случае с «Вконтакте» и Google выяснилось, что, обладая определенной информацией о пользователе (контакты, фотография, секретный вопрос), можно без труда получить доступ к его аккаунту. 

Вконтакте

«Вконтакте» уделяют достаточно большое внимание обеспечению безопасности пользователей и придумали свой метод восстановления пароля. Вам даже предложат сфотографироваться на фоне страницы процедуры восстановления пароля с предварительной загрузкой скана документа, удостоверяющего личность. Все бы ничего, но «Вконтакте» используют самое слабое звено для проверки – человека. За что и поплатились – в результате ряда манипуляций с формой восстановления пароля и контактными данными и переписки со службой поддержки доступ к странице пользователя был получен менее чем за сутки.

Google

Google – примерно та же ситуация. Пароль восстановили довольно легко. Причем после получения доступа к аккаунту Gmail.com в нашем распоряжении оказываются все сервисы, с которыми работает пользователь – от Youtube до Picasa. Например, процедура восстановления пароля была запущена в тот момент, когда владелец учетной записи продолжал работать с сервисами Google: общался через GoogleTalk, загружал файлы с Android Market. Сервисы перестали работать внезапно, без каких-либо предупреждений со стороны Google. Причем подобную атаку не смогла остановить даже двухфакторная авторизация с привязкой к мобильному телефону.

Mail.Ru

С Mail.Ru ситуация сложнее. Этот сервис также доброжелательно относится к своим пользователям и идет навстречу им во многих вопросах. С одной стороны, это не может не радовать, с другой – предоставляет отличные возможности хакерам. Здесь общедоступной информации оказалось недостаточно. Тем не менее, после виртуального общения непосредственно с жертвой, которая любезно предоставила нам все нужные данные, доступ к аккаунту был получен без особых проблем. 


Вперед в будущее. Facebook

Facebook

Социальная сеть Facebook продемонстрировала наиболее взвешенный подход, который сочетает заботу об удобстве и безопасности пользователя. Схема защиты не совсем стандартная – привязка к e-mail, привязка к телефону и возможность пользоваться друзьями для восстановления доступа к странице. Причем друзьями должны быть люди, которых вы знаете не 1 и не 2 дня – мы не смогли попасть в список доверенных лиц пользователя даже за две недели активности. В том же случае, если у вас больше нет доступа к почте и секретному вопросу, Facebook сообщает, что ничего поделать не может. И советует зарегистрироваться заново. 


image

Отдельно хотелось бы выделить Яндекс. Это замечательный пример того, как не стоит закручивать гайки. Нам не удалось получить доступ к аккаунту пользователя из-за слишком суровых требований к процедуре восстановления пароля. Например, увели у вас почтовый ящик с Яндекс.Деньгами. Телефон вы не привязали. Секретный пароль не вспомнили. Служба поддержки требует паспорт. Все пропало. И Яндекс.Деньги, и Яндекс.Почта.


Итак, какие можно сделать выводы:

• функция восстановления пароля – слабое место в системе защиты пользователя массовых онлайн-сервисов;
• на первый план для интернет-ресурсов выходит необходимость соблюсти баланс между удобством сервиса для пользователей и его безопасностью;
• пользователи довольно легкомысленно относятся к правилам безопасности и собственным данным, тем самым поневоле оказывая помощь злоумышленникам.

Таким образом:
ВКонтакте Получен доступ Доступ к данным получить несложно, лояльная служба технической поддержки
Google Получен доступ Доступ к данным получить несложно, лояльная служба технической поддержки
Mail.Ru Получен доступ Доступ к данным получить можно, но только после общения с пользователем
Facebook Доступ не получен Доступ к данным получить нельзя, Facebook – молодцы!
Яндекс Доступ не получен Доступ к данным получить нельзя, но очень жесткие требования к процедуре восстановления пароля


Действия по восстановлению паролей касались реальных аккаунтов пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекса. Мы проинформировали владельцев этих учетных записей о целях исследования и получили от них согласие на совершение действий с их аккаунтами. После завершения проекта реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми мы работали, также получили уведомления о найденных уязвимостях и предприняли меры по устранению обнаруженных недочетов.

На этом наши исследования не заканчиваются –  Positive Technologies  продолжает анализировать безопасность социальных сетей и других популярных интернет-сервисов. Результаты новых исследований мы представим на международном форуме по практической безопасности  Positive Hack Days , который пройдет 30-31 мая 2012 года в Москве.

Новости – в нашем блоге!
positive technologies research публикации соцсети
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться