Обошедший защиту «ВКонтакте» воронежский программист: «Уязвимости есть везде»

Сергей Вакулин дал советы по сохранности данных в аккаунтах от мошенников.

Юлия Беляева, 24 мая 2018, 15:25

Юлия Беляева

Житель Воронежа Сергей Вакулин нашел уязвимость системы защиты соцсети «ВКонтакте», получив номера конкретных пользователей в начале мая 2018 года. Корреспондент РИА «Воронеж» поговорила с 18-летним программистом о рисках владельцев аккаунтов и способах защиты данных в соцсетях.

«Уязвимость на руку мошенникам»

Программисты называют уязвимостью недостаток, который грозит «сливу» личных данных пользователей. Остальные «недоделки» программистов или разработчиков сайта именуют багами.

Сергей наткнулся на уязвимость «ВКонтакте» случайно. Многие используют поиск аккаунтов по имени, фамилии и городу, но студент решил искать по номеру телефона, применив функцию «Импорт друзей» из мобильного приложения «ВКонтакте». Юноша добавил номер телефона знакомого, но ошибся на одну цифру и нашел профиль другого человека. Потом начал разрабатывать алгоритм, поняв, что это серьезная уязвимость.

– Регистрацию по номеру телефона «ВКонтакте» ввели, чтобы избавиться от ботов (до этого была регистрация по электронной почте). Импорт появился в 2013-м, но он не был так распространен, как сейчас. То есть с тех пор он работал по умолчанию, не было настроек приватности, – пояснил студент.

Лишь недавно соцсеть ввела функцию скрытия своего номера при импорте.

По словам воронежца, уязвимость номеров телефонов пользователей на руку мошенникам. Также она позволяет идентифицировать пользователя по его номеру телефона:

– То есть можно любой телефон занести в телефонную книжку и получить все данные о пользователе: как его зовут, фамилию. А если в профиле указана подробная информация, то узнать, где владелец номера учился, работает, кто его друзья.

Обманщики, зная данные, смогут позвонить и сказать, что угодно: начиная от предложений о кредите и заканчивая шантажом.

Как Сергей добыл нужные номера

Обойти защиту студенту удалось методом перебора: каждый номер парень заносил в телефонную книжку и проверял через «Импорт». С помощью API ВКонтакте (интерфейс, который позволяет получать информацию из базы данных vk.com через http-запросы к серверу) проверял по условию: если истина, то номер заносится в лог-файл (текстовый файл, где регистрируются все запросы к сайту и ошибки), а если нет, то продолжается перебор.

– Ограничение на получение ссылки можно обойти, добавив человека в друзья. С помощью метода VK API можно выгрузить ID пользователей из исходящих заявок, а уже по ним можно узнать данные человека, – пояснил Сергей.

Студент узнал по этой схеме номера известных блогеров. Эти номера Сергей проверил на подлинность через восстановление пароля:

– Вводится номер, фамилия, затем нужно скопировать фотографию, которая хранится на сервере «ВКонтакте», и сверить ее с той, что хранится на странице у пользователя.

Устранение уязвимостей

По словам воронежца, он общался с представителями «ВКонтакте». Его попросили сообщить об уязвимости в HackerOne (компания, разоблачающая уязвимости) и подробно раскрыть алгоритм действий. Согласно условиям «ВКонтакте», за обнаруженную уязвимость соцсеть выплачивает денежную компенсацию.

– Я не хотел предоставлять всю информацию. Потому что один мой знакомый раскрыл так алгоритм, уязвимость устранили, но платить отказались. Руководство «ВКонтакте» предусмотрело минимальную сумму компенсации – 100 долларов. Я дал им «лекарство» от обнаруженной мной уязвимости, то есть конкретно описал, как ее устранить, но они просят алгоритм, – рассказал Сергей.

После обнаружения уязвимости юноша наблюдает, что в соцсети появились сдвиги – вводятся ограничения на получение ссылки и контакты людей, которых можно пригласить, не отображаются.

– Раньше показывался весь список, и лишь при нажатии на профиль конкретного пользователя выдавалась ошибка из-за ограничения. Сейчас же на весь экран пишут, что есть ограничение, – отметил программист.

Какая соцсеть самая надежная?

Студент признается, что пробовал взломать мессенджер Telegram, но там защита построена иначе. Вместо имен и фамилий у пользователей никнеймы, к тому же в приложении имя человека выводится так, как он записан в телефонной книге.

Защита же Facebook, по мнению Сергея, устарела:

– Там используют версию защиты, которая, наверное, появилась, когда еще Марк Цукерберг был студентом. Поэтому сейчас и происходят массовые утечки данных пользователей. Из мессенджеров сегодня самый защищенный Telegram, там пока еще никто не находил уязвимость. Из соцсетей я не могу определить. В любой системе есть уязвимость.

Как защититься?

Чтобы обезопасить свой аккаунт в соцсетях, воронежский программист советует пользователям «ВКонтакте» в настройках приватности в графе «Кто может найти меня при импорте контактов по номеру» указать: «Никто».

Также нельзя переходить по сомнительным ссылкам, присланным неизвестными людьми, иначе есть риск нарваться на фишинг (интернет-мошенничество, целью которого является получение доступа к логинам и паролям пользователя).

– Создается копия сайта, допустим «ВКонтакте», где вас просят указать логин и пароль. Зачастую люди смотрят лишь на содержимое сайта, а на доменное имя не обращают внимания. А там вместе vk.com может быть vk1.com, vc.com или wk2.com. Это фишинговые сайты, которые с помощью скрипта пересылают ваши логин и пароль автору сайта, – отмечает Сергей.

Пароли в разных соцсетях не должны быть однотипными, напоминает юноша. Они должны быть сложными и состоять не только из цифр, но и букв и символов.

Хотя для безопасности пользователей на многих сайтах существует капча (защита от автоматического спама с помощью визуального текста или математического примера), но ее легко обходят.

– Есть специальный сервис для обхода буквенной капчи. Или можно установить стороннее программное обеспечение, которое будет считывать эти буквы. Правда, сейчас «ВКонтакте» использует новую капчу, до этого она была с буквами и цифрами, а сейчас от Google – нужно выбрать по изображению, – рассказывает программист.

Также Сергей советует воронежцам подключить во всех соцсетях двухфакторную аутентификацию (подтверждение входа) – когда после ввода логина и пароля нужно ввести код, который приходит по SMS.

Планы

Сергей еще в школе разбирал мобильные телефоны, чтобы изучить их устройство. В 13 лет понял, что хочет стать программистом. Юноша изучил языки программирования. Одним из первых освоил самый простой язык для веб-страниц – HTML.

– Однажды мне удалось найти уязвимость в школьной в сети Wi-Fi, и я получил пароль. А на следующий день устроили конкурс: школьный сисадмин заинтересовался, найдутся ли люди, которые смогут взломать систему. Но я тогда не захотел участвовать в этом, – вспоминает Сергей.

Юноша признается, что у него есть идея создать свой мессенджер – нечто похожее на Telegram или WhatsApp. В свободное от учебы время Сергей продолжит искать уязвимости «ВКонтакте» и начнет сотрудничать с ребятами из разных городов.

– В ближайшее время я хочу собрать команду, которая будет мне помогать в находке уязвимостей в других соцсетях. С «ВКонтакте» мы точно не будем сотрудничать, а с другими социальными сетями можно. В команде должно быть пять-семь человек, – говорит Сергей.

На этой странице используются файлы cookies. Продолжая просмотр данной страницы вы подтверждаете своё согласие на использование файлов cookies.