Угнали аккаунт ВК/ОК/и т.д. кто виноват?⁠⁠

Тема уже далеко не новая - сидит человек никого не трогает и оказывается, что его аккаунт украли и [много нехорошего].

Итак, оставив моральную сторону (не забывая, что взлом - уголовное преступление) обратимся к технической стороне. Получение пароля к сайту в основном происходит (доли могут сказать только люди которые этим занимаются). Итак сперва капля теории:

Ресурс запрашивает у пользователя логин и пароль. Если авторизация прошла успешно - выдаётся некоторый ключ (токен). Звиздёж про особо хитрые сессии (особенно от свидетелей PHP, Java, .NET) не катит - данные бинарные и без потерь копируются. Итак:

- Через админов и CMS. Чтобы нагнуть ресурс достаточно ломануть админскую учётку или CMS, база всех пользователей сливается за секунды в автоматическом режиме. Далее два пути - строчка отправляющая учётные данные на сервер взломщика или зная правила формирования хеша - радужные таблицы. Все простые пароли ломаются моментально, особенно если для расчёта хешей использовать ресурсы ботнетов или... фермы для майнинга. Это значит, что пары логин/пароль которые использовались на данном сайте будут автоматом использованы везде где только можно в т.ч. и в соцсетях.

- поддельные сайты. Дизайн абсолютно любого сайта копируется за минуту специальным софтом. Далее десятками способов пользователь перенаправляется на фейковый сайт и отдаёт учётные данные взломщикам. Контролировать адресную строку никто не заморачивается, а правильное перенаправление идеально маскирует поддельную страницу.

- браузеры и "левый" софт - от пиратских винды и офиса до карточной игрушки. Многие пользователи "экономят" и качают софт откуда попало. Добавить пару сотен байт и чутка поправить исходник - и данные с компа потекут куда им укажут.

- расширения для браузера. Почти все расширения имеют возможность читать страницы. Логины и пароли в том числе, особенно популярны дополнения "режущие" рекламу.

- игры в соцсетях. Игры и приложения социальных сетей можно использовать для доступа к перепискам без знания логина и пароля.

- не официальные мессенджеры соцсетей. Аналогично играм - при их использовании передаются логины и пароли.

- левые библиотеки на сайтах. В наш век лени веб-программисты любят фигачить тонны библиотек в свои прожекты. Затащить в зависимость троян - получаем контроль над ресурсом. Минимальный троян для веба - десяток символов, которые легко спрятать в сотнях страниц кода.

- сторонний код. От прошлого отличается тем, что вместо включения кода оставляется ссылка на сторонний ресурс (например, CDN) и если ресурс взламывают...

- подмена DNS. Трафик сайта идёт на другой сервер и с небольшой магией...

- прослушка трафика. При неправильной настройке систем безопасности можно получить доступ к незашифрованному трафику. Логины, пароли и токены просто копируются. Причём уязвимым может быть любое устройство между пользователем и сервером.

- использование чужого устройства. Всегда есть риск, что рабочий комп или комп друга уже заражены...

- вирусы. Тут всё понятно думаю.

Если тема интересна - на выходных опишу защиту.