Сегодня моему коллеге пришел в личку ВКонтакте типовой развод от взломанного сослуживца с прошлой работы с просьбой одолжить денег до вечера.
Мякотка: чтобы этого бывшего коллегу взломали, тот нажал в ВК на призыв поставить лайк фотографии друга, открылось окно ввода логина и пароля от ВК, он ввел логин, пароль, а потом ещё и смс-код, так как у него двухфакторная аутентификация.
Мега-мякотка: сейчас этот бывший коллега - начальник информационной безопасности.
Давно уже не видел чтобы логин пароль спрашивали. Чаще это делается через api vk, о чем многие даже не знают. Всего лишь надо заставить жертву кнопку "разрешить" нажать, даже без ввода логин-пароля
Вроде, что бы писать сообщения через vk api, нужно пройти аутентификацию с логином и паролем, так что они все равно нужны.
когда жертва уже залогинен в вк, то ему ничего больше вводить не надо, только нажать кнопку.злоумышленнику уходит токен, а больше ему ничего и не надо, он с этим токеном может делать все, к чему есть разрешение. Единственная проблема: чтобы писать сообщения через api там нужно разрешения на сообщения, а они даются только в standalone-приложении. получается что в веб версии нельзя получить разрешение на отправку сообщения. (актуально в версии 5.61, другие не юзал)
Да, доступны только те функции, которые перечислены. А перечислить же можно все. Единственное в веб приложении сообщения нельзя отправлять, а управлять друзьями (удалять, добавлять), группами, писать посты, делать репосты, ставить лайки, менять профиль и т.д. все можно
Какой версией пользовались в последний раз? Ооочень давно была такая тема, сейчас не так. Отправлять логин-пароль в запросе - жесть
Знаете в чем реальный прикол. Я даже не знаю как выглядят странички по краже акаунтов. Мне часто в стиме просят чтото гдето проголосовать, а я знаю что даже скачанная картинка может нести вред, поэтому сразу удаляю из друзей, чс и жалоба в стим.
А на ВК отдельная тема, люди в принципе как собаки, везде так хотят все пометить либо лайком либо коментом, поэтому дают свои личные данные как собаки которые трясут писюном. Извините за сравнение. Ну поэтому как и собака может отморозить, так и человек потерять контроль над вк.
не знаю насколько нужная инфа, надо всего лишь в настройках вк во вкладке Настройки приложений удалить приложение, которому дал доступ. После этого токены станут не валидными. да, получить доступ просто, те же формы входа на сайт через соц сети - хороший инструмент получения доступа к наивному юзеру
Так вот у меня нету приложений в ВК, и не захожу никуда через вк)
ВОт со стимом иногда если известный сайт делаю так. Да и то потому что служба поддержки стима более или менее адекватная и акаунты возвращает. (ниразу не угоняли, но один раз попытка была)
