Поиск уязвимостей
Попытался тут зайти в одну известную соцсеть, не получается. Посмотрел новости, причинно-следственная связь напрашивается сама собой)
Попытался тут зайти в одну известную соцсеть, не получается. Посмотрел новости, причинно-следственная связь напрашивается сама собой)
В разделе «Документы» во «ВКонтакте» обнаружили голосовые сообщения части пользователей. Чтобы их прослушать, достаточно ввести ввести в поиске по документам «audiocomment.3gp». На уязвимость обратили внимание на «Дваче».
По словам пользователей имиджборда, баг существует уже больше месяца. На момент написания заметки в результатах поиска отображаются более 2 тысяч записей. Если кликнуть на любой из файлов, то можно будет определить, кто его записал — в ссылке содержится id страницы.
Источники TJ, знакомые с ситуацией, пояснили, что уязвимость может быть связана не с дырой во «ВКонтакте», а с недоработками разработчиков сторонних клиентов. Вероятнее всего, доступны только аудиосообщения, отправленные через приложения вроде VK Coffee или Kate Mobile.
Во «ВКонтакте» рассказали TJ, что соцсеть не хранит аудиозаписи в формате «audiocomment.3gp». Представители сервиса пояснили, что причиной проблемы стали неофициальные приложения и пообещали выключить поиск по подобным файлам.
Уязвимости «ВКонтакте» нет — все голосовые сообщения в приложении «ВКонтакте» защищены. Никто, кроме самих участников переписки, не сможет получить к ним доступ.
По нашим данным, в раздел «Документы» попала часть аудиосообщений, которые пользователи загружали через сторонние неофициальные приложения. Мы настоятельно рекомендуем использовать официальные приложения ВКонтакте.
пресс-служба «ВКонтакте»
Администрация социальной сети «ВКонтакте» не стала исправлять серьезную уязвимость в функции импорта звонков, позволяющую получить доступ к номеру телефона любого пользователя.
Проблему выявил 18-летний житель Воронежа, программист Сергей Вакулин, после чего уведомил администрацию ресурса о проблеме.
Как сообщил Вакулин в интервью «5 каналу», уязвимость до сих пор существует и потенциально может быть проэксплуатирована злоумышленниками. Администрация соцсети отложила разработку соответствующего исправления, поскольку не сочла проблему достойной внимания. По словам программиста, данная уязвимость существует уже сравнительно давно – порядка 5 лет.
«Как оказалось, моей уязвимости уже пять лет, можно сказать, юбилей. На протяжении пяти лет все пользователи, которые используют «ВКонтакте», подвергались этой опасности. В 2013 году был запущен импорт, с 2013 по 2018 год в настройках приватности не было такой опции как „кто может видеть мой номер при импорте“. По умолчанию эта опция находилась в стандартном режиме „все пользователи“. По поему мнению, этой уязвимостью пользовались многие подпольные компании», - отметил Вакулин.
Если в ВК открыть любую переписку, нажать на значок скрепки, выбрать "Документ" и ввести в поле поиска все что угодно, то вам станут доступны все личные файлы других пользователей (которые они отправляли в переписках другим пользователям) с введенными ключевыми словами, пока все работает..
Предыстория.
Мне уже полгода приходят СМС с короткого номера 5606 примерно такого вида:
"И. Иванов: приветкакдела. Прочитать: хттп://m.vк.cоm/итд Чтобы ответить, начните ответную СМС с кода 12345"
Сначала думал, что это развод и весь смысл в том, что я нажму на эти ссылки... ну а дальше вариантов полно: вирус где-нибудь подхвачу, скачается какая-нибудь опасная штука и т.д.
Выгуглил, что с номера 5606 приходят обычно сообщения от ВКонтакте. Кто подключал себе смс-оповещения от ВК, тот в курсе.
Оговорюсь, что симку, на которую приходят смс приобрел буквально за несколько дней до того, как эти сообщения стали приходить.
Так вот, соответственно сделал вывод, что номер моей новой симки подвязан у кого-то к странице ВКонтакте. Но, чтобы подвязать номер к ВК надо пройти кучу подтверждений, неосуществимых, если телефона с этим номером у тебя нет при себе (исключая тот вариант, что ты Hackerman из KungFury).
Итого имеем: тот, кто владел этим мобильным номером ранее, привязывал его к странице в ВК. После смены номера он не позаботился указать в ВК новый номер. СМС-оповещения тоже не позаботился отключить. Таким образом, смс-ки получает новый владелец номера.
А теперь... Торжественно клянусь, что замышляю только шалость...
Заходим в ВК, видим форму авторизации. Жмем внизу, мол, "Забыли пароль" (Сори, ребят, у меня в настройках английский стоял, а кнопку переключения языка внизу страницы я не сразу заметил)
Далее вводим номер телефона, на который идут назойливые СМС
Сочувствуем роботам, ибо дальше для них путь заказан
Просит ввести фамилию
Казалось бы, тут-то мы и заглохнем, не зная фамилии пациента, но... Т.к. в СМС-оповещалках указывается отправитель (фамилия и инициал имени), то мы с достаточно высокой вероятностью узнаём фамилию владельца аккаунта. Изучаем пришедшие нам СМС. Ищем такие, где к получателю обращаются "сынок", "папочка", "братан" (хотя "братан" - не всегда брат). А лучше, если таких СМС было несколько. Ну и вводим...
Если всё удачно, то спрашивает "Вот к этому аккаунту надо восстановить доступ?". Говорим да
Дальше нам приходит СМС с кодом
Вот сюда вводим его
Придумываем пациенту новый пароль
Получаем вознаграждение за старания
и смс на телефон с логином (он же обычно и почта)
Заходим на страницу. Дальше в настройки (в новом дизайне убрали пункт "Настройки"; не знаю, куда тыкать, я просто набрал вк.ком/сеттингс). У чувака стоял рус.яз. поэтому дальше понятней
Выбираем в меню справа пункт "Оповещения". Находим раздел "Оповещения через SMS". Видим злополучную галочку, из-за которой нам приходят смс-ки
Убираем галочку с "Получать СМС-оповещения"
И, по желанию (и хорошо подумав, надо ли вам оно) сообщаем владельцу любым способом, чтоб он отвязал старый номер от страницы.
Не стал как-либо оповещать владельца, чтобы не палить себя. Ибо иначе у него будет, как минимум, мой номер телефона (который его же старый). А кто знает, как он решит распорядиться этой инфой. А вот доступ к странице он сможет восстановить как только поймет, что старый пароль не канает. Если ты себя узнал, без обид. Я только отключил СМС-оповещения. И отвяжи старый номер. Иначе я смогу много раз сделать описанное в посте (хотя не вижу, какую из этого выгоду извлечь).
Мораль:
Я в некоторых соцсетях тоже оставил привязанным старый номер, который уже давно заменил. Новый не хотел палить в целях конспирации. Я теперь понимаю, что возможно так же недавно ломали мою почту на mail.ru (почтовое приложение в телефоне, в котором я ввел когда-то пароль раз и навсегда, вдруг сказало, что этот пароль больше не подходит). Но если на mail.ru можно никакой номер не указывать, то на ВК с некоторых пор - нельзя, пришлось засветить. Так что не забывайте отвязываться от номеров, которыми больше не пользуетесь.
Особо сердобольные, можете написать в ВК-саппорт (можете дать ссылку на этот пост) и сказать, что существует вот такая проблема. Я со своего аккаунта ВК писать не хочу, чтобы его не компрометировать.
Самые "сообразительные" из вас уже побежали ломать страницу старого владельца Вашего нового номера... Но я не знаю, насколько это возможно, если не знать его фамилию (да и не факт, что аккаунт ВК на настоящую фамилию заведён) и при этом у вас в распоряжении нет СМСок с его аккаунта. А если есть несколько вариантов искомой фамилии, то возможно в ВК есть защита от ребят, которые станут перебирать варианты. Лично я проделал описанное 2 раза: 1-й - чтобы проверить, 2-й - чтобы наделать для вас скриншотов.
Без долгих вступлений: По ссылке vk.com/docs доступен поиск по документам пользователей социальной сети.
Суть в том, что поиск выдает результаты не только публичных картинок и документов, а в том числе и личных файлов, которые пользователи пересылали друг другу лично, несмотря на то, были пометки типа «Документ доступен другим пользователям в поиске» или нет.
Очень интересные результаты можно получить например по запросу «снилс». Все найденные документы можно легко скачать прямо на странице.
Среди документов можно найти личные данные пользователей соцсети, копии паспортов списки паролей и т.д.