Загрузка [MathJax]/localization/ru/MathMenu.js

Хабр Geektimes Тостер Мой круг Фрилансим

Мегапосты: Вернуть экзамены Гайд для безопасника Урбанистический VK-тест

Взлом вк, двухфакторная аутентификация не спасет

Информационная безопасность

Недавно я ужаснулся от того, как просто можно получить доступ к странице пользователя, зная только номер телефона, на который зарегистрирована страница жертвы. Стоимость взлома ~1000-1500 рублей, время взлома ~30 минут. Единственное условие — недобросовестный оператор мобильной связи?

Предупреждение. Все материалы и методы, изложенные ниже, представлены исключительно в ознакомительных и экспериментаторских целях. Напоминаем, что взлом персональных страниц пользователей и сбор данных незаконным путём преследуется законодательством РФ (в частности УК РФ). Будьте осторожны и экспериментируйте только со своими или тестовыми аккаунтами!

Приступим сразу к делу.

Если вы когда-нибудь оставляли свои паспортные данные в каких-нибудь крупных салонах сотовой связи и ваш мобильный оператор не очень добросовестный, то вы подвержены данному способу взлома. Скажем так, большинство сотрудников данных сетей не сильно беспокоятся о конфеденциальности данных покупателей и очень здорово торгуют этой информацией в даркнете. (Да что уж там, получить список транзакций по карте стоит всего лишь 2000 рублей...). Вобщем, это оказалось очень просто — найти человека, который пробьет вам паспортные данные по номеру телефона пользователя. В моем случае в базе данных крупного салона связи оказались как мои данные, так и данные моей мамы и даже бабушки. Стоимость получения данной информации как раз укладывается в ценник ~500-1000 рублей. Возможно это выглядит достаточно муторно и проблемно, но по факту это занимает не более получаса и вряд ли вас кто-то будет после искать и найдет. Способы оплаты везде разные, кто-то принимает только биткоины, кто-то не стесняется указать свою карту в телеграме. К слову сказать, достаточно часто встречающееся явление, когда злоумышленник не боится указывать номер своей (или не своей?) карты, ибо, например, деньги с карты на карту уводят досточно беспроблемно и после предъявить обвинение держателю карты, куда были переведены деньги, практически невозможно. Лично у меня нет комментариев по данному поводу.

Итак, мы получили скан паспорта пользователя. Нет, фотошопить фотографию с лицом пользователя, где он держит его перед камерой, мы не будем. Мы пойдем к мобильным операторам, которые с радостью подставят жертву. Регистрируем фейковую страницу ВКонтакте на левый номер телефона, врубаем VPN и пишем в официальное сообщество оператора мобильной связи жертвы сообщение примерно следующего содержания:

«Добрый день. Нам требуется установить переадресацию всех звонков на новый номер телефона. Доступа к самому телефону не имею. Что от меня нужно для совершения данной операции?»
И что же дальше? У вас спросят номер телефона жертвы, новый номер телефона, куда требуется переадресовать все звонки и паспортные данные для «подтверждения вашей личности и владения номером телефона». Здорово, не правда ли? Достаточно просто купить новую симку на вокзале за 300 рублей, либо купить виртуальную симкарту где-нибудь в сети и не париться. Сообщаете всю информацию и все, дело в шляпе — переадресация включена и, что самое удивительное, — жертва не мгновенно оказывается уведомленной о подключении переадресации.

Сначала уведомление вообще не пришло, прошел час — пришло целых 2 раза:

Попробовал подключить услугу на другом номере телефона данного оператора — уведомление приходит спустя 2-3 минуты, что достаточно для совершения дальнейших действий по получению доступа к странице. К тому же, если проделывать это все в 4 часа утра, то вряд ли жертва проснется от смс оператора и успеет что либо сделать вовремя.

Вообщем плохо, если лично у вас такой оператор:

Хорошо, если такой:

Итак, теперь идем ВКонтакте и начинаем взламывать:

Начинаем восстанавливать пароль:

На данном этапе наша жертва получает смс о том, что кто-то пытается сменить пароль на странице:

Но только вот, что с того? Что вот лично вы успетеете сделать за 2 минуты? Смс мы не перехватим, т.к. переадресация работает только на звонки. Но нам это и не интересно. Нажимаем «Выслать код повторно» и видим следующее окно:

Поняли, что мы дальше сделаем? Ага, пусть робот сделает звонок и оператор переадресует его на на наш номер телефона и сообщит нам код для смены пароля. Итак, звоним:

Робот звонит на наш левый номер телефона, сообщает код и после мы просто берем и меняем пароль:

Все, доступ к странице получен. Скорее всего паникующая жертва скоро сменит пароль и тогда данное действие можно будет повторить снова и у хакера есть всего лишь 2-3 минуты в запасе. Но нет никаких проблем запустить скрипт дампа страницы, который сохранит всю историю переписок, все фотографии и все, что только душе угодно за пару секунд.

Теги:

информационная безопасность

Тест: что ты знаешь о цифровых сервисах

Проверить

+88
65,1k
255

Андреев Данил php_freelancer

Backend разработчик

26 июля 2016 в 13:37
Навыки и требования к специалистам по информационной безопасности

+24 65,5k 203 22
23 февраля 2015 в 23:13
Проблемно-игровой метод мотивации студента специальности «Информационная безопасность»

+7 11k 55 2
29 декабря 2012 в 23:43
NIST SP 800: библиотека по информационной безопасности

+33 42,1k 474 17

Комментарии 255

mdma_xtc вчера в 22:09
+8
С переадресацией вообще можно много делов натворить, вплоть до получения доступа к онлайн-банкингу.
Кстати, это лишний раз доказывает о глупости привязки номера припейд к паспорту.
- achekalin вчера в 23:51
  +14
  Характерно, что факт владения номером телефона (причем, замечу, именно номером мобильного телефона) стал уже не только для самого сотового оператора, но и для банка, для органов и суда, для сторонних коммерческих структур подтверждением личности и даже её дееспособности.
  При этом смена симки уже становится не мерой против злоумышленников, а гарантированным гемороем, когда тебе нужно обойти миллион мест, где твой номер указан в профиле, и сменить этой номер на новый. Т.е. смена уже давно себе дороже, в то время как даже «угон» номера довольно прост.
  Да что там, почти наверняка легко ищется салон связи, который по фото паспорта в телефоне выдаст дубликат симки (а старая в тот момент, конечно, умрет, что еще больше затруднит ее настоящему владельцу вопрос «отката» ситуации). С дубликатом симки можно посетить основные сервисы и сменить там номер телефона на другой. И это, замечу, без сговора с оператором сотового салона, а просто на втирании в доверие к нему и на фото паспорта (а уж «фото», зная реальные данные паспорта старого владельца, нарисовать не проблема).
N3661 вчера в 22:22
+1
В случае использования TOTP не прокатит ведь?
- TonyLorencio сегодня в 10:39
  0
  В ВК нельзя оставить исключительно TOTP, вроде бы. Буду рад, если неправ
  - EminH сегодня в 12:53
    
    0
    многие сервисы настойчиво рекомендуют указать номер мобильного и используют его как метод восстановления если TOTP утерян
so1ov вчера в 22:22
+35
От таких clickbait'ов у меня каждый раз глаз выпадает и катается по полу.
Заголовок гласит «взлом вк», в статье описывается компрометирование паспортных данных и интеграционное спагетти с их помощью.
- gecube вчера в 22:28
  +1
  Насчет паспортных данных — да есть 100500 компаний, которые имеют мои паспортные данные. И знают номер моего телефона. Начиная от всех работодателей и кончая всякими сервисными службами (операторы связи, провайдеры, чуть ли не ЖЭКи и пр.).
  Кстати, как правило, человек паспортные данные и номер мобильного телефона не меняет на протяжении достаточно долгих периодов времени, ну, например, 5-10 лет.
  Поэтому подставы можно ожидать и не только от сотрудников салонов мобильной связи.
  - Drebin893 вчера в 23:29
    
    +7
    Спойлер: зарегистрировав российскую сим-карту на реальные паспортные данные, вы их поместили в интересную песочницу, откуда их может извлечь каждый, имеющий около 7-15 евро.
    - Idril вчера в 23:45
      
      –17
      
      Пруфов, разумеется, до сих пор нет? Всё так же основывается на скринах левых объявлений на непонятных форумах?
      - php_freelancer вчера в 23:52
        
        +9
        
        К сожалению, достаточно зайти в даркнет, где вам любезно предложат весь спектр услуг, от слития паспортных данных по номеру телефона до получения информации о всех ваших тратах по всем счетам в Российских банках. Могут даже бесплатно урезанное демо сделать. All inclusive. Проблема в том, что такие возможности очень широко афишируется, т.к. пошел какой-то хайп на даркнете и каких-то «посылках с даркнета». Мол как просто получить доступ к подобного рода информации.
        
        Moskus сегодня в 00:03
        
        +6
        
        В общем, можно ни в какой «даркнет» не ходить — недобросовестный сотрудник салона связи обнаруживается обходом ближайших салонов за несколько часов. Предварительная выборка потенциально готовых к подобному сотрудничеству делается просто по внешнему виду.
        
        DjPhoeniX сегодня в 18:04
        
        0
        
        В салонах операторы (во всяком случае, мой) обязаны (технически) для выдачи данных ввести код из смс, которое присылается на номер, данные которого я запрашиваю. То-есть я говорю «дайте детализацию по +7991000####» — «ок, код из смс пожалуйста» — «Сообщите дилеру код для подтверждения операции: ######» — «ОК, печатаем». Если с СМС сложности, требуют паспорт и письменное заявление, «мы вам перезвоним».
        
        Drebin893 сегодня в 00:13
        
        +13
        
        Я тоже многократно видел эти услуги своими глазами, при чем не абы где, а на известных в определенных кругах и весьма авторитетных (увы!) ресурсах. Думаю, мы с вами друг друга понимаем.
        
        Писал несколько разгромных статей на хабр о бессовестной торговле персональными данными на постсоветском пространстве, но, что знаково: в них отписался ряд очень забавных комментаторов с писаниной в стиле «какие ваши доказательства» © (идеально читается голосом из х/ф Red Heat).
        
        То есть некоторым людям всерьез понадобилось, чтобы для них провели наглядный следственный эксперимент: вот мой паспорт, вот мой оформленный на этот паспорт телефон, вот услуга «пробива» на форуме, вот значит оплачиваю услугу, вот получаю все мои счета в известном на всю Россию зеленом банке, а вот и паспортные данные получаю, все совпадает! Иначе «не пацан не отвечаешь за базар», или как там в России принято.
        
        (мне достаточно и того, что по роду деятельности в прошлом сам несколько раз становился жертвой, т.к. мои данные и сливали самым наглым образом, и получали по «своим каналам» люди, которые не должны были их получить)
        
        Хотя на мой взгляд, все гораздо прозаичнее. Дико забавно наблюдать на хабре комменты от лево-акков с горсткой постов, где больше половины это традиционные «не все так однозначно», «начни с себя», «вон у них в Америке», «хотите как на Украине». По странной случайности, у них-то и начинается тягомотное «а вот докажи», как только вскрывается неудобная правда о российских государственных структурах и российском около-государственном бизнесе.
        
        Так что, делая обзор, будьте готовы к таким комментаторам. Буду очень рад прочитать вашу статью! Обязательно напишите свой обзор на Хабр.
        
        shalm сегодня в 08:13
        
        +3
        
        Разных майоров немеряно, куда не плюнь сразу в двух попадёшь, раз так должны быть причины их содержать — порядок полный в том же доступе к информации, а выходит наоборот, у семи нянек дитя без глазу, вот и приходится им хотя б видимость порядка организовывать, отрицать очевидные вещи, замалчивать дикие факты
        
        geisha сегодня в 15:20
        
        –5
        
        в них отписался ряд очень забавных комментаторов с писаниной в стиле «какие ваши доказательства»
        Привет, это я, твой забавный комментатор. Я по-прежнему считаю, что статьи о любых взломах на Хабре без proof-of-concept ничего не стоят, потому что их в принципе невозможно опровергнуть. Да, именно невозможность опровергнуть и скользкие формулировки отличают ~~первый канал~~ жёлтый журнальчик от того, чем раньше был Хабр.
        
        Так что, делая обзор, будьте готовы к таким комментаторам.
        Да, подготовьте несколько конспирологических комментариев с обязательным упоминанием Украины. Типа вашего. Такое на хабре очень любят (нет, мой дорогой читатель комментариев, это — не сарказм, уже лет 5 как нет).
        
        Vilgelm сегодня в 09:37
        
        +3
        
        В даркнет не надо, самые популярные площадки в «обычном» интернете.
      - Moskus вчера в 23:56
        
        +8
        
        С любителями требовать доказательств (да, слово «пруф», на самом деле, пишется именно так) есть всегда две типовые проблемы:
        — совершенно непонятно, почему кто-то должен предоставлять доказательства именно им;
        — также совершенно непонятно, какие доказательства вообще могут быть в случае, когда речь идет о том, что само по себе незаконно.
        То есть, что это должно быть, объявление в газете «продам личные данные пользователей Билайн, обращаться в салон связи такой-то, спросить Васю»? Или инкриминирующий того, кто проверил такую возможность, скринкаст с реальными данными?
        
        Idril сегодня в 00:05
        
        –19
        
        Выходит, стоит верить всему, что где-то написано?
        Если мы завтра увидим статью про то, что человек якобы взломал сайт Пентагона и в качестве доказательства выложит скриншот с ssh клиента, где будет написано «Ubuntu Server 18.04 Pentagon Edition», мы должны будем поверить этому?
        
        Что плохого в том, чтобы критически относиться к подаваемой информации? Мы ведь живём далеко не в мире розовых пони, где везде правда и только правда.
        
        Moskus сегодня в 00:18
        
        +15
        
        Вас никто не заставляет ни во что верить просто так, только потому, что это кто-то сказал. Но вот, например, мне (и множеству других людей) не нужно никаких «доказательств», потому что я уже (независимо от этой статьи) знаю, что получить паспортные данные — возможно. Так что для меня, и для множества других, это просто история о том, что и как просто можно сделать с данными, которые, как мы уже знаем, доступны. Соответственно, ваше заявление о бездоказательности — это проблема отсутствия у вас нужных знаний, а не проблема самой статьи. А также, это проблема с тем, что вы, вероятнее всего, воспринимаете любое заявление о взломе, как хвастовство автора. Что совершенно не обязательно так, потому что это может быть просто констатацией факта.
        
        Поскольку вы любите аналогии (правда, приводите их неудачно), я тоже вам представлю аналогию. Например, я вам могу сейчас сказать, что радиус атома водорода — 53 пикометра. Вы тоже совершенно не обязаны мне верить, но и я не обязан вам представлять всю экспериментальную базу, чтобы доказать, что это так.
        
        tnsaturday сегодня в 12:19
        
        –2
        
        я уже (независимо от этой статьи) знаю, что получить паспортные данные — возможно.
        
        Дальше что? Пару лет назад здесь была уже статья ровно такая же, с апокалиптическими криками о том, что нас всех взломают, ограбят и т.д. И что? Я взял свой паспорт, сделал с него ксерокопию (абсолютно легально, заметьте) и пошел тестировать. В спальнике типичного российского миллионника. Зашел в три салона сотовой связи купить карточку, ни в одном мне это не удалось. Зашел в ларьки «быстро деньги» и «деньги сразу» и, естественно, был послан далеко и надолго. Да мне даже в хостеле койку на ночь взять не удалось! Единственное, что я смог сделать — это купить в пятерочке бутылку пива.
        
        Вы, конечно, скажете, что у меня лицо не такое, разговариваю я не так, МОЖНО было деньги предлагать и т.п. Я вам так скажу, имея много денег можно в космос полететь, или, следуя вашей логике, просто комплект документов заказать на вашем любимом «даркнете».
        
        iig сегодня в 12:31
        
        +4
        
        Миф: с помощью предмета, похожего на пластмассовый пистолет, грабят банки.
        Что делает разоблачитель мифа: берет пластмассовый пистолет, пишет свою false story.
        То, что у вас не получилось использовать ксерокопию своего же паспорта, никак не отменяет возможноть подобного действия.
        
        Hardcoin сегодня в 13:06
        
        –2
        
        Вы опровергли квантор всеобщности, это хорошо. То есть утверждение "каждый может с помощью ксерокопии паспорта увести чужой аккаунт" не верное.
        
        А вот квантор существования таким образом не опровергается. Да, обычно его следует доказывать, а не опровергать, но тем не менее.
        
        Kobalt_x сегодня в 20:03
        
        0
        
        А вот квантор существования таким образом не опровергается. Да, обычно его следует доказывать, а не опровергать
        А бремя доказательства на ком лежит не подскажете?
        
        lolhunter сегодня в 16:45
        
        0
        
        Эмм. Идешь на любой рынок типа горбушки и покупаешь симки пачками по 300р.
        По быстроденьгам и прочему — там этим промышляют люди, имеющие доступ и им ваша ксерокопия, как и вы сами нафиг не нужны. Там какой-нибудь менеджер Петя у которого план горит напилил анкет по купленным копиям паспорта и поехал на юга. Ну или нач службы безопасности вместе с учредителями договорились и вытащили немножко кэша…
        
        Griboks сегодня в 00:20
        
        +4
        
        Такие вещи невозможно доказать. Но, предупреждён — значит вооружён, не так ли?
        
        ne555 сегодня в 08:50
        
        –1
        
        Почему невозможно доказать, если Вам алгоритм предоставлен?
        
        TimsTims сегодня в 09:54
        
        +3
        
        Всегда останутся неверующие, которые скажут, что это подстава, и данные заранее он себе свои выкачал, конвертнул формат. Даже если онлайн видео с перепиской записывать.
        
        Hardcoin сегодня в 13:12
        
        –2
        
        Идея доказательства не в том, что бы "не осталось неверующих", а что бы рассмотреть все значимые вероятности.
        
        Например, до сих пор есть неверующие в то, что земля круглая. Но это не значит, что доказательство круглой земли не возможно. Оно возможно и оно есть.
        
        Возможно, кому-то достаточно тех частей доказательства, что уже представлены (скриншоты форумов, например). Однако наличие неверующих — это не довод, что более серьезные доказательства "невозможны". Они, конечно, возможны.
        
        TimsTims сегодня в 15:41
        
        –2
        
        что бы рассмотреть все значимые вероятности.
        Что за бред. Доказательство не может быть вероятностным. "Уважаемый судья, скорее всего этот человек виновен, давайте его казним на электрическом стуле."
        Доказательство должно быть железным, на уровне теоремы, как теорема Пифагора. Доказательство нельзя опровергнуть. Вероятности остаются вероятностями, но никак не доказательствам.
        
        Hardcoin сегодня в 16:04
        
        0
        
        что бы рассмотреть все значимые вероятности.
        
        Доказательство не может быть вероятностны
        Цепочка ваших рассуждений мне не ясна. Суть вашего возражения — тем более. Много доказательств в суде, конечно, вероятностные (например, все показания свидетелей именно такие), но как это относится к делу?
        
        Доказательство должно быть железным, на уровне теоремы, как теорема Пифагора.
        Это возможно только в формальных науках. В естественных — это предмет дискуссии, в социальных — невозможно.
        
        Давайте я сформулирую по-другому. Что бы рассмотреть все потенциальные возможности (по возможности опровергнув все, кроме одной). Возможно, так понятнее.
        
        Am0ralist сегодня в 17:01
        
        +2
        
        Что за бред. Доказательство не может быть вероятностным.
        Какова точность ДНК-анализа?
        Тогда б судили убийц только пойманных на месте преступления, причем с обязательной фиксацией на три независимых устройства сбора данных.
        Ну и тогда б суд присяжных был бы не нужен, если б 100% факты в суде только рассматривались…
        
        Griboks сегодня в 10:17
        
        +2
        
        Потому что вы не сможете повторить этот алгоритм на суде. Тем более, он не общий.
        
        OZR сегодня в 12:19
        
        +5
        
        Очевидно, что доказательство возможно, но категорически нежелательно, т.к незаконно. И оказаться в тюрьме ради чрезвычайно очевидного «пруфа» незнакомцу из интернета, один из самых глупых поступков, которые только можно совершить. Наиболее логичное решение, подобных вопрошающих «пруфы», записать в слаборазвитых и прекратить общение, т.к оно не эффективно и не способно привести к каким угодно положительным результатам. К сожалению, всё IT больше похоже на дуршлаг. Утечки данных теперь уже совершаются каждый день изо всех мест, которые только можно представить. И для тех, «кому нечего скрывать», просто напомню, что достаточно всего лишь информации, что Вас не будет дома 30 минут, чтобы уже нанести ущерб. И кража одно из самых безобидных, что может произойти. Мир не без плохих людей. И их много. Многие из них терпеть не могут других. У каждого человека найдутся хейтеры. И у Христа они были. Что уж говорить, про обычных, даже самых добрых и ангельских людей. Так что всё что о Вас известно. И всё что Вы скажете может и обязательно будет использовано против Вас. На этом моменте я просто пожелаю, чтобы _розовый_ мир, где угроз нет, в Вашей реальности действительно оказался таковым. Добрым и мягким. Не всё в этом мире необходимо доказывать, показывать и проверять. Со многим в этой жизни лучше никогда не соприкасаться. За сим желаю здоровья, и чтобы все беды обошли Вас и всё сообщество стороной.
        
        Moskus сегодня в 00:21
        
        +5
        
        Ну и вы на мои (в общем, совершенно не риторические, а вполне реальные) вопросы так и не ответили, естественно.
        
        — Почему кто-то должен предоставлять доказательства именно вам?
        — Какие доказательства вообще могут быть в случае, когда речь идет о том, что само по себе незаконно?
        
        Idril сегодня в 00:44
        
        –12
        
        Почему кто-то должен предоставлять доказательства именно вам?
        
        Мне никто ничего не должен, это понятно. Но я проясню свою позицию. Я далёк от ИБ. Но мне стало интересно (после недавних публикаций) — действительно ли так просто получить персональную информацию обо мне, которую я оставил, находясь в РФ? Я изучал этот вопрос на хабре, но кроме скриншотов левых сайтов с объявлениями я так ничего и не увидел.
        Ок. Не хотите — не предоставляйте доказательства. Ваше право.
        
        Какие доказательства вообще могут быть в случае, когда речь идет о том, что само по себе незаконно?
        
        Полагаю, что сценарий, когда человек выкупает информацию о себе, а потом сообщает об этом в соответствующие службы оператора. С официальным ответом этого оператора.
        
        Moskus сегодня в 00:53
        
        +9
        
        Как я вам уже написал выше, совершенно очевидно, что продажа личных данных — это не официальная услуга салонов связи или самого оператора, потому, естественно, это всегда будут скриншоты «левых сайтов», просто потому, что именно на «левых сайтах» это и продается.
        Что до «выкупа информации о себе» — вы хотите, чтобы ради того, чтобы вы в чем-то удостоверились, автор опубликовал свои данные для всего мира? Серьёзно?
        И что к этому всему добавит «официальный ответ оператора»?
        
        Hardcoin сегодня в 13:21
        
        –2
        
        автор опубликовал свои данные для всего мира
        А их не нужно публиковать. Например, сам факт того, что человек попробовал это сделать и у него получилось — очень сильно поднимает вероятность того, что это так. Конечно, он может соврать, поэтому это не будет считаться строгим доказательством, но это действительно поднимает вероятность.
        
        Если так сделали два-три достаточно независимых человека с большой историей на хабре — будете ли вы считать, что это то же самое по надёжности, что и скриншот с форума с обещанием (!) предоставить данные?
        
        Лично я буду считать заявление об успешной попытке получить данные от нескольких человек намного более серьезным заявлением, чем утверждение, что это возможно, но никто не пробовал. А вы?
        
        Я не настаиваю, что это нужно делать. Может и не нужно. Но разница в силе доказательства огромная, как считаете?
        
        Nalivai сегодня в 16:59
        
        +1
        
        Надо понимать что это несколько противозаконно, даже в случае инфы о себе, и может привести, при плохом исходе, к довольно серьезным проблемам. Преступникам это не так важно, они и так собираются мошенничать, а вот законопослушному гражданину нарушать закон ради такой мелочи несколько странно. Я бы вот не решился.
        
        saboteur_kiev сегодня в 04:01
        
        +6
        
        Вы сильно лукавите. Вам показали не скриншоты левых сайтов, а практически подробную инструкцию в скриншотах, как выполнить это действие.
        То есть вы можете самостоятельно провести эксперимент, возможно потратив некоторую сумму (например купив лишнюю сим-карту, с которой вы будете взламывать свой же аккаунт). И убедиться, что инструкция рабочая.
        Либо вы даже можете сами заплатить в даркнете за услугу взлома самого себя и получить о себе данные.
        
        Idril сегодня в 05:14
        
        –10
        
        В данном контексте меня интересовал не конкретно «взлом» аккаунта вк, а гипотетическая возможность получить паспортные данные (пользоваться не собираюсь, но меня беспокоит сохранность моих данных). И, хоть убейте, я не вижу подробных инструкций по этому делу. Каких либо примеров, чтобы эти данные получали — тоже. Всё что есть — это скриншоты с объявлениями.
        
        В связи с этим я и задал вопрос, который меня мучает уже некоторое время. И, судя по минусам в моих комментариях, он сильно не понравился местной аудитории (полагаю, тут надо было поверить на слово и заткнуться).
        
        Moskus сегодня в 05:46
        
        +6
        
        Инструкция предельно тупа:
        — берете тысячную купюру и номер телефона на бумажке
        — идете в ближайший салон связи, когда там поменьше клиентов
        — находите сотрудника, который больше остальных похож на гопника
        — убеждаетесь, что вас никто не слышит и просите его «пробить номерок»
        — если не получилось, идете в соседний салон связи.
        
        Druu сегодня в 07:54
        
        +1
        
        Каких либо примеров, чтобы эти данные получали — тоже. Всё что есть — это скриншоты с объявлениями.
        Допустим, автор сказал, что воспользовался услугой и купил данные. Как ему потом доказать, что это действительно так?
        
        Hardcoin сегодня в 13:27
        
        –2
        
        Есть определенная вероятность, что он соврет, да. Но она не 100%. Если таких людей несколько, с историей на Хабре, это в разы более сильное заявление, чем скриншот с обещанием. Потому что в случае скриншота нужно верить человека, который преступник, неизвестен и материально заинтересован. Шансы что он соврет — заметно выше.
        
        А вот если это сделаю я или вы, пусть даже без особой репутации на хабре, то можно учесть отсутствие материальной заинтересованности и априорную вероятность, что не преступник.
        
        То есть это не строгое доказательство, но намного более сильное свидетельство, чем скриншот.
        
        Kirhgoff сегодня в 05:49
        
        +5
        
        Не тратьте на него времени — с весьма большой вероятностью это тролль. Акк зарегистрирован в ноябре 2018, как и большинство троллей здесь, карма в минусе, никаких постов, хабов, ничего нет, кроме комментов, половина в глубоком минусе. Данный тролль весьма успешен, есть плюсовые комментарии.
        
        Moskus сегодня в 05:55
        
        +7
        
        Вы верно описали ситуацию, но делаете неверный вывод.
        Это «классических» троллей не стоит «кормить», потому что все, что они хотят (в результате своих дефективных социальных навыков) — это вызвать эмоциональную реакцию окружающих.
        А «новых» троллей, которые занимаются, вольно или невольно, пропагандой или спорами ради споров, нужно воспринимать вполне серьезно, потому что большинство читающих это — не в состоянии «расшифровать» их ложь, лукавство, заблуждения. Так что отвечать на то, что они пишут — стоит, но не для них, а для тех, кто это читает.
        
        Kirhgoff сегодня в 06:00
        
        +5
        
        Ну, кстати, соглашусь с вами.
        
        stalactite сегодня в 07:06
        
        –14
        
        А то вы не понимаете почему в минусе? Вы же и минусуете все что угодно: комменты, карму всех неугодных вам Лишь потому, что мнение отличное от мнения большинства у людей еще бывает, представляете? Сами же и не соблюдаете правила Хабра, где написано уважать чужое мнение. А у вас цель выжать всех неугодных отсюда и сидеть кайфовать кучкой в человек 20-30. А потом удивляются еще почему Хабр не тот, почему то-то и то. И, да, знаю, что этот коммент заминисуют как обычно, правда тут многим глаза режет.
        
        TimsTims сегодня в 11:21
        
        +6
        
        Хабр — наверное последнее место в ру.интернете, где большинство голосующих имеют четкую логическое мышление. Если вы отстаивание свое мнение, и даёте аргументы, то с вами соглашаются и плюсуют. Если ваши аргументы неубедительны, то вас минусуют.
        Несоответствие механики работы кармы и правил сайта — это вам нужно писать в администрацию. Коротко, ответ такой: карма позволяет обществу саморегулироваться, держать меньше модераторов, которые бы это делали вместо пользователей, а значит и не пускать зловещую рекламу на сайте.
        
        Moskus сегодня в 00:33
        
        +7
        
        Да, и «критическое отношение к информации» или «скептическое мышление» — это не попугайское требование доказательств от других, это способность самому анализировать правдоподобность тех или иных утверждений.
        
        Idril сегодня в 00:50
        
        –14
        
        Вот именно. И самостоятельно проанализировав эти утверждения на основе имеющихся у меня данных, я пришёл к выводу, что утверждения весьма сомнительны. Поэтому запрашиваю доказательства (и получаю в ответ, что — «ты не в теме, значит сам дурак»).
        За сим откланиваюсь. Хорошего вечера.
        
        Moskus сегодня в 00:55
        
        +10
        
        Вы анализируете утверждение на основе отсутствующих у вас данных, а не имеющихся.
        
        fzn7 сегодня в 09:55
        
        0
        
        Заставь дурака богу молиться
        
        roscomtheend сегодня в 10:03
        
        0
        
        Не живите в мире пони, идите работать к бизьнесьменам — много чего инетерсного и нового узнаете (про то, например, что слово «биллинг» на их жаргоне — это получение информации о жертве из салона сотовой, например, по местоположению (по вышкам)). Причём «бизьнесьмены» могут быть в совсем отвлечённых от IT областях, они просто привыкли всех «пробивать», следить за женой и чёрт ещё знает что делать. Свой мирок, где не хочется оставаться, но тогда ваши пони в ужасе разбегутся.
        
        yetanotherman сегодня в 04:45
        
        0
        
        Я всерьез задумываюсь о проведении такого эксперимента со своими данными (а именно — купить лично мои данные в даркнете). Почему вы считаете, что данные действия могут быть незаконными?
        
        Cerberuser сегодня в 05:34
        
        +4
        
        А закону не пофиг, чьи данные? Продавец получил прибыль от незаконных действий, Вы — покупатель, осознающий незаконность действий продавца. И то, и другое от конкретного содержания данных не зависит (только от факта, что это ПД), и, по идее, этого достаточно. Другой вопрос — как этим воспользуются: могут замять дело для покупателя и закрыть продавца, а могут и наоборот — сцапать покупателя, бодро отчитаться о "профилактике преступлений", а продавцу только пожелать удачи и напомнить, чтобы не забывал делиться прибылью.
        
        yetanotherman сегодня в 05:47
        
        0
        
        Нет, закону как раз не пофигу. В отличии от чужих ПД, в отношении своих я имею право решить, кому я разрешаю или не разрешаю их обрабатывать. Отсюда и вопрос.
        
        agat000 сегодня в 07:55
        
        +1
        
        Гипотетически: вы, путем подкупа или обмана, склоняете сотрудника организации к нарушению его служебных инструкций и уголовного кодекса. Он совершает преступление. А вы не просто соучастник, а организатор преступления, совершенного в группе, по предварительному умыслу.
        
        Не посадят, конечно, но условно дадут запросто. Обоим.
        
        yetanotherman сегодня в 07:57
        
        0
        
        Нет, не так. Я нашел в сети объявление и обратился по нему. Если я приду с таким предложением в салон — это гарантированно будет незаконно.
        
        SLIDERWEB сегодня в 09:06
        
        +1
        
        Вообще-то, это юрисдикция УК, и при возбуждении дела учитывается и умысел (мотив). Так что, если совершаешь подобные деяния с умыслом «проверить», и в отношении только своих ПДн, то к Вам норма права УК РФ не применима, так как нет состава преступления, по причине, озвученной yetanotherman.
        
        saboteur_kiev сегодня в 15:43
        
        0
        
        Когда вы платите в салоне сотруднику, за пробив ВАШИХ данных, он нарушает закон, потому что не имеет права это делать — это не его трудовая обязанность, это ее нарушение.
        
        Во-вторых вы платите человеку за то, что он нарушает закон — а значит у вас сговор.
        
        В-третьих, вы с ним договор об этой услуге не подписываете, налоги с этой сделки никто не платит, уже этого достаточно чтобы вы не имели право решать.
        
        yetanotherman сегодня в 15:50
        
        0
        
        Вариант с салоном заведомо провальный — я даю взятку и провацирую сотрудника салона на преступление, несложно представить возможные последствия. Я рассматриваю исключительно случай с запросом в интернете.
        
        saboteur_kiev сегодня в 17:31
        
        0
        
        случай с запросом в интернете отличается только тем, что вы и сотрудник в салоне общаетесь не лично, а через интернет.
        
        yetanotherman сегодня в 18:21
        
        0
        
        Это интересный момент. Отличий всё-таки побольше будет, вопрос в их юридической значимости.
        
        Кстати, относительно салона всё тоже не однозначно. Мне сдается, что правильно спланированный диалог и знание своих прав сделает виноватым всех, кроме тебя самого. В теории. Конкретно это утверждение на практике я проверить не возьмусь в нашей действительности, по крайней мере, без очень хорошего юриста. Точнее, без очень хорошего юриста и связей.
        
        saboteur_kiev сегодня в 19:30
        
        0
        
        Если есть связи, вы можете сами быть этим сотрудником. Или тем, кто вообще может нарушить любой закон и остаться безнаказанным.
        О чем вообще спор?
        
        Пробив личной информации в РФ слишком доступен, мало наказуем, руководство страны слишком далеко от понимания технической реализации цифровой безопасности, чтобы вводить вменяемые законы, да и вообще им не до этого.
        
        yetanotherman сегодня в 19:53
        
        0
        
        А вы меня не поняли. Спора-то нет. Я действительно рассматриваю варианты, как в рамках закона проверить доступность моих ПД и, в случае положительного результата, что я могу сделать. И в общем-то всем, кто накидал варианты — я благодарен, независимо от того, считаю ли я эти варианты валидными или нет.
        
        А властям и будет пофигу, пока таких любопытных как я — единицы. Если всем пофиг на их ПД — с чего бы власти начали чесаться?
        
        Skycaptain сегодня в 07:18
        
        0
        
        я не специалист, но закон рассматривает не только факт самого действие, но и умысел.
        
        Moskus сегодня в 07:25
        
        0
        
        А еще закон рассматривает метод. Если для того, чтобы положить себе денег на телефон, вы сломаете биллинговую систему оператора, а затем честно переведёте себе со своего банковского счета некую сумму, а не просто «нарисуете» ее на своем телефонном счёте, вы всё равно сядете за взлом.
        
        Moskus сегодня в 05:51
        
        0
        
        Предложение взятки за злоупотребление служебным положением с целью получения доступа к личным данным — это три преступления в одном.
        
        И если это ваши личные данные (про которые я ничего не говорил, потому что речь шла о получении доступа к чужим данным, а не к своим), из суммы пропадает только одно слагаемое.
        
        yetanotherman сегодня в 06:10
        
        0
        
        Злоупотребляю служебным положением тоже не я, остается только взятка. Боюсь, тут тоже может быть сложно натянуть, особенно, если я данные по факту получил, они мои и я задокументировал весь процесс.
        
        Moskus сегодня в 06:14
        
        +1
        
        А это вы будете объяснять в суде, потенциально. Учитывая, как суды любят помогать полиции с улучшением статистики, ваши шансы не особо хороши.
        
        yetanotherman сегодня в 06:21
        
        0
        
        Я думаю для начала что шанс, что кто-то из этих продавцов или покупателей окажется в суде — ничтожно мал. По причинам похожим на озвученные вами. Но за вариант про взятку — спасибо, на всякий случай учту.
        
        Moskus сегодня в 06:27
        
        +2
        
        Давайте не будем смешивать «шанс попасться мал» и законность подобной затеи, это очевидным образом глупо.
        
        yetanotherman сегодня в 06:45
        
        0
        
        Тогда давайте не будем теоретизировать. Я хочу например «получить детализацию за деньги». Пока эта детализация моя — не вижу в этой затее ничего незаконного независимо от того, в каком странном месте я её запросил (например, описанный в статье чатик — похоже то ещё странное место). Если вы можете рассказать как с юридической точки зрения мне можно вменять дачу взятки должностному лицу за это действие — буду вам благодарен.
        
        Moskus сегодня в 07:16
        
        +1
        
        «Не теоретизировать» — это если вы действительно это сделаете, а потом будете действительно отстаивать свою невиновность в суде. А все разговоры здесь — это теоретизирование по определению, потому что есть закон, а есть правоприменение, о котором можно судить только по тому, как себя поведет реальный суд.
        
        Например, суду может быть совершенно наплевать на обстоятельства, когда гражданин дает деньги должностному лицу за то, чтобы это лицо сделало то, что оно обязано сделать (но по какой-то причине — не хочет), а не то, чего делать нельзя. Это всё равно может быть квалифицировано, как взятка, и так бывает. Гражданин в этой ситуации не виноват, только если чиновник у него явно эти деньги вымогал, а гражданин обратился в полицию.
        
        Неправомерный доступ к данным — это деяние, которое квалифицируется по методу, а не по тому, к каким данным получают доступ. Потому весьма возможная с вашей стороны аналогия про то, что вещь нельзя украсть у самого себя будет неуместной, потому что дело не только в том, что вы получили, но и как. И это даже без допущений, что вам могут пришить, что это вы ради теста самого себя «пробивали», чтобы убедиться, а потом на ком-то еще это использовать.
        
        yetanotherman сегодня в 07:30
        
        0
        
        Для дачи взятки должностному лицу — нужно должностное лицо для начала. Неправомерный доступ к данным тут вообще неприменим. Поэтому, пока не вижу причины считать такой эксперимент незаконным.
        
        Что же касается «а вдруг меня за это арестуют и будут судить, а там суд мне может нарисовать что-нибудь страшное» — так мне могут наркотики еще например подкинуть или кирпич на голову упасть — что теперь, на улицу не ходить?
        
        Moskus сегодня в 07:49
        
        0
        
        Если вы пойдете в салон связи, чтобы «коррумпировать» тамошнего клерка (так делают те, кто ни к какому «даркнету» не имеет отношения), ваша взятка пойдет на нарушение им должностных обязанностей.
        Если вы пойдете в «чатик», то это не взятка, а плата за доступ к информации, который неправомерен (потому что тот, кто где-то украл или купил базу, сделал это незаконно). Я не знаю, что вы выкручиваетесь. Если всё так радужно и безопасно — пойдите и проведите эксперимент, включающий в себя обращение в полицию с заявлением, что вам удалось ради эксперимента это провернуть, а потом, если сможете, с нами поделитесь.
        
        yetanotherman сегодня в 07:56
        
        0
        
        Про салон связи я с вами согласен.
        Про чатик — боюсь это так не работает.
        
        Moskus сегодня в 08:00
        
        0
        
        А как это, по-вашему, тогда работает в случае чатика? Вы — добросовестный приобретатель, что ли? Конечно, нет.
        
        yetanotherman сегодня в 08:08
        
        0
        
        Под признаки ст. 175 УК РФ «Приобретение или сбыт имущества, заведомо добытого преступным путем» не подпадают приобретение и сбыт заведомо добытой преступным путем цифровой информации.
        
        Moskus сегодня в 08:16
        
        0
        
        При чем тут имущество, о чем вы вообще?
        УК РФ, ст. 272 п.1 (по признаку «копирование») или п.3 (если оплату услуг «барыги» квалифицируют, как сговор). Эта статья — универсальная, она не только про «сидюк скопировать» или кино через оператора проектора в кинотеатре на торренты слить.
        
        yetanotherman сегодня в 08:21
        
        0
        
        Про имущество я в контексте добросовестного приобретателя. В рамках нашего законодательства совершенно не важно, как добыли информацию, которую я приобрел. Что касается УК РФ, ст. 272 п.1 — закон не охраняет мои ПД от меня, по этой же причине п.3 неприменим.
        
        Moskus сегодня в 09:36
        
        0
        
        В рамках нашего законодательства совершенно не важно, как добыли информацию, которую я приобрел.
        
        Это утверждение не соответствует действительности.
        
        yetanotherman сегодня в 14:35
        
        0
        
        Вы с авторским правом не путаете? Если нет — почему вы так считаете?
        
        Moskus сегодня в 16:57
        
        0
        
        Нет, не путаю, потому что статья говорит не о «воровстве» информации, а о противоправном доступе к ней. Потерпевшим в данной ситуации является сотовый оператор, а не вы. Я уже выше объяснял про то, что аналогия с воровством у себя — неверна. А то вы так договоритесь до того, что прийти в банк, отобрать у кассира тысячу рублей, а взамен оставить ему записку «это я ради эксперимента, снимите эту тысячу с моего счета такого-то в этом банке» — тоже не преступление.
        
        yetanotherman сегодня в 17:19
        
        0
        
        Ну зачем вы передергиваете?
        
        Вы говорите, что мое утверждение о том, что нашему законодательству не важно, как была добыта информация, которую я купил — не соответствует действительности. Можно пояснить, почему вы так считаете? Я допускаю, что я могу ошибаться, но я не нашел такой статьи. (Авторское право в расчёт не берем — не тот случай)
        
        Что же касается неправомерного доступа к информации — я его не совершал и уже написал об этом выше. Это не я привел аналогию, это прописанная в законе норма — иначе, следуя вашей логике, мое обращение в службу поддержки будет квалифицироваться так же. Информацию скопировал? Да. ПД охраняются законом? Да. Разница только в том, что я мог знать, что продавец получил эти данные незаконным путем. Но ответственность за это будет только в случае приобретения имущества, кроме того, процесс доказательства моей вины, боюсь, будет нетривиален
        
        fpir сегодня в 11:54
        
        0
        
        Вещь можно украсть у самого себя. Нельзя подать заявление на самого себя. Но вариант когда вы принесли телефон, скажем, домой и положили на видное место, через время забрали, а ваша жена обратилась в полицию. И, допустим, стремительно завели уголовное дело. Всё, привет, Вы вор, и суд это подтвердит. Есть куча теоретических возражений, типа частного обвинения, примирения сторон и тд, но они все теоретические, и в практике часто обходятся. Пример предельно утрирован, но отдельные части этого примера встречаются часто.
        
        Moskus сегодня в 16:59
        
        0
        
        Аналогия неверна, я уже это объяснил здесь: habr.com/post/435916/#comment_19612218
        
        yetanotherman сегодня в 17:23
        
        0
        
        Я уже объяснил, что закон не охраняет мои ПД от меня в данном случае, поэтому, статья о неправомерном доступе к информации тут неприменима.
        
        Arqualoq сегодня в 17:13
        
        +1
        
        Позволю себе не согласиться с вышесказанным, в виду того, что кража — это тайное хищение чужого имущества, а свое имущество по определению не может быть чужим.
        
        SLIDERWEB сегодня в 12:17
        
        0
        
        А вот тут очень интересная ситуация рисуется — как написано в преамбуле любого кодекса — необходим субьект правонарушения. Потерпевший. И вот тут то и начинаются юридические метаморфозы.
        Если я совершаю противоправные действия в отношении себя, то данные деяния не являются составом преступления, иначе это будет нарушать мои конституционные свободы По этой причине, следователь, при допросе, обязательно будет задавать разные вопросы, которые нацелены на выяснение обстоятельств, при которых было совершено то или иное деяние. Это ляжет в мотивировочную часть
        
        rogoz сегодня в 13:11
        
        +1
        
        Вдруг потерпевший — сотовый оператор. Вы, в составе преступной группы, дали денежки сотруднику оператора, он «взломал» систему и нанёс урон репутации/что-нибудь ещё.
        
        yetanotherman сегодня в 14:21
        
        0
        
        Мой вопрос был исключительно про случай, что я откликнулся на объявление вида, например «предоставим детализацию по номеру телефона». Кому и зачем я дал денежку я предварительно и в процессе задокументировал, как и результат данной операции.
        
        rogoz сегодня в 15:50
        
        0
        
        То есть ещё и собрали все доказательства для тов. майора?
        
        yetanotherman сегодня в 16:17
        
        0
        
        Именно так. Например, доказательства представляют собой неразрывный видеофайл. Начинаются с текста «Меня зовут так-то так-то, я хочу проверить, какими способами я могу узнать детализацию по своему номеру телефона такому-то».
        
        Я не питаю иллюзий на тему нашей правовой системы, но и в страшные ужастики тоже не верю.
        
        Moskus сегодня в 16:59
        
        0
        
        habr.com/post/435916/#comment_19612218
        
        yetanotherman сегодня в 17:26
        
        0
        
        Пожалуйста, покажите, в каких случаях закон запрещает мне получить доступ к моим ПД. Без этого нельзя квалифицировать мои действия как неправомерный доступ к информации.
        
        SLIDERWEB сегодня в 19:27
        
        0
        
        С юридической точки зрения, реализуя данный конкретный кейс, автор не совершил ни одного преступления. Он ни кому не платил денег за предоставление конфиденциальной информации, не вводил никого в заблуждение, с целью незаконного обогащения или или извлечения иной выгоды, не сообщал заведомо ложных данных и не получал несанкционированный доступ к каким либо информационным системам.
        Он реализовал кейс, который, гипотетически, может реализовать кто угодно, и очевидно, что злоумышленнику будет начхать на то, к чему вы апеллируете, так как он осознанно идет на совершение преступления. Вопрос лишь в том, какие потенциальные риски несут абоненты и пользователи. Но как известно, спасение утопающих — дело рук самих утопающих. И расследованием подобных дел ни кто всерьез заниматься не будет. Максимум — заведут дело, отправят запросы операторам, о предоставлении информации. Получат портянку с ответом. повызывают Вас, для приличия, а потом составят достаточно неприятный и нудный разговор о том, что злоумышленника не найти, и порекомендуют отозвать заявление.
        
        А вот зона ответсвенности оператора четко прописана в законе. И сам факт получения данной информации в обход утвержденной процедуры, или согласно ВНД, который позволяет получить конфиденциальную информацию третим лицам — это залет. Но Вы будете судиться с оператором и «доводить дело до конца» (2-3 года судов и сотни тысяч рублей)?
        Кажется более правильным, после выяснения того, что подобный кейс возможен — расторгнуть все официальные отношения с таким оператором и отозвать разрешение на обработку своих ПДн.
        
        Так что я совершенно не понимаю, к чему все эти рассуждения.
        
        yetanotherman сегодня в 20:42
        
        0
        
        Спасибо, достаточно подробно. Ну не обязательно же идти в полицию с этим и в суд. Есть же ещё РКН и прокуратура. Не знаю, на сколько на практике им будет интересно доводить такое дело до конца, но и деваться им особо вроде некуда. Может я наивен, но слышал, их подобные обращения только радуют.
        
        Расторгнуть договор — хороший вариант, но, если верить страшилкам про ПД, это совершенно не поможет. Вот для начала и хочется узнать, на сколько всё плохо, так сказать, из первоисточника.
        
        UPD: И кстати, возможен ведь ещё и позитивный исход, например, моих данных не оказывается в открытом доступе или служба безопасности оператора находит запрос в биллинг по времени и номеру и наказывает сотрудника, который его выполнил. Пока что у меня позитивный опыт взаимодействия с оператором и, признаться честно, не вижу причины по которой они могут спустить такой запрос на тормозах.
        
        sumanai сегодня в 19:36
        
        0
        
        А вот тут очень интересная ситуация рисуется — как написано в преамбуле любого кодекса — необходим субьект правонарушения. Потерпевший.
        
        Не нужен.
        
        Hardcoin сегодня в 12:51
        
        –4
        
        почему кто-то должен предоставлять доказательства именно им
        Именно им — не надо. Просто факт можно считать доказанным, когда он доказан (извините за тавтологию). А пока он не доказан, его можно считать гипотезой, верной с какой-то вероятностью.
        
        На мой взгляд странные две вещи.
        
        Просьба подтвердить слова минусуется (способ подтверждения может выбрать тот, кто утверждает)
        
        Заявление считается верным не после проведенных экспериментов (например), а после тщательно построенных рассуждений против тех, кто просил подтверждений. Блин, да даже если они все на зарплате в ФСБ, каким образом это делает гипотезу верной? Пробовали бы в физике так доказывать.
        
        P.S. доказательств не прошу.
        
        Hardcoin сегодня в 13:01
        
        –3
        
        Впрочем, если обдумать, то второй пункт совершенно не странный. Это каскад доступной информации. Абсолютно естественно, что люди ему подтвержены, но лучше б они этого искажения избегали.
        
        P.S. подверженность искажению не опровергает гипотезу. Просто надо учитывать, что без доказательств это именно гипотеза, а не факт. Степень её вероятности или качество доказательств каждый может оценить сам. Я не в коей мере не утверждаю, что она не верна.
        
        DistortNeo сегодня в 13:10
        
        +1
        
        Просто надо учитывать, что без доказательств это именно гипотеза, а не факт.
        Кажется, вы путаете понятия "факт" и "гипотеза".
        
        Факт: "я купил собственные персональные данные в даркнете".
        Гипотеза: "в даркнете можно пробить данные любого человека".
        
        Этих фактов на Хабре — несколько штук, плюс куча постов об угоне симок. Как следствие из этих фактов, вытекает гипотеза, которую есть все основания считать верной.
        
        Hardcoin сегодня в 14:24
        
        –3
        
        В том-то и дело, что не путаю.
        
        Факт: "я купил собственные персональные данные в даркнете".
        Если это на самом деле факт, можете сказать ник человека, который это утверждал?
        
        из этих фактов, вытекает гипотеза, которую есть все основания считать верной.
        Разумеется. Если вы видели этим факты, то вопросов нет. С моей стороны никакого троллинга, я просто не видел комментариев "я купил собственные персональные данные в даркнете". Вы видели? Поделитесь ссылками или никами, пожалуйста.
        
        saboteur_kiev сегодня в 15:46
        
        0
        
        Поделитесь ссылками или никами, пожалуйста.
        Хорошая попытка, товарищ майор, но нет.
        
        DistortNeo сегодня в 13:07
        
        0
        
        Просто факт можно считать доказанным, когда он доказан (извините за тавтологию).
        А что такое "доказательство"?
        
        Блин, да даже если они все на зарплате в ФСБ, каким образом это делает гипотезу верной?
        Человеку предоставляется несколько подтверждений. Если человек им не верит — это его проблемы. С тем же успехом можно с пеной у рта требовать доказательств, что Земля не плоская.
        
        Пробовали бы в физике так доказывать.
        Вообще-то, в физике абсолютно доказанных фактов нет. Есть только гипотезы, для которых не удаётся найти опровержений, и потому они считаются верными (но в будущем это может поменяться).
        
        Hardcoin сегодня в 14:56
        
        0
        
        А что такое "доказательство"?
        Подобный вопрос не является ключевым для диалога. Я уверен, что мы "доказательство" понимаем примерно одинаково.
        
        Человеку предоставляется несколько подтверждений
        Если было представлено, тогда все нормально. Если не сложно — можете дать ссылку на комментарий, где они были представлены? Я, видимо, пропустил.
        
        Вообще-то, в физике абсолютно доказанных фактов нет.
        И несмотря на это никто там не примет доказательства в стиле "в физике нет абсолютно доказанного, а провести предложенный вами эксперимент крайне тяжело, сами его проводите. А мы пока будем считать утверждение верным".
        
        Я вижу десятки комментариев в стиле "да всё доказано уже", "другие писали, что сработало" и ни одного "я купил, сработало" или "такой-то написал, что купил и у него сработало". Допускаю, что пропустил. Статью, которую имеет ввиду RussDragon найти не удалось.
        
        Возможно ли, что я заблуждаюсь а сама гипотеза верна? Возможно, конечно. Но я не про гипотезу, а про стиль доказательства. Это явный каскад доступной информации — большой поток сообщений, что доказательства есть, а несогласные их просто игнорируют без предоставления самих доказательств.
        
        Это не пика в вашу сторону, это просто интересное наблюдение для тех, кому интересна тема искажений и кто прочитает комментарий.
        
        Moskus сегодня в 17:06
        
        0
        
        Вопрос о достаточности доказательства, на самом деле, ключевой, потому что люди с разной мотивацией требуют, на самом деле, разного. Одни требуют заведомо невозможного (намеренно, и знают это), другие — тоже, но не осознают этого (они просто глупы), третьим же доказательства уже не нужны, потому что они уже знают, что купить данные — возможно. В этом, по сути, нет ничего нового и интересного, просто люди исходят из разных мотивов и разного существующего у них уровня знаний.
      - RussDragon сегодня в 03:29
        
        +1
        
        Но ведь не так давно была статья, где человек с пруфами показывал, как покупает свои же данные в даркнете. Найдете сами.
      - batyrmastyr сегодня в 14:34
        
        0
        
        Как пишут, в Канаде одному удалось сменить оператора без предъявления паспорта (хотя там потребовался пароль от голосовой почты и кое-что о себе), с мгновенной активацией новой симки. Нужны ли в таких условиях левые сайты?
    - gecube сегодня в 00:14
      
      0
      
      Спасибо, я читал про это.
      Но Вы, боюсь, мой комментарий не поняли. Есть 100500 компаний, которые могут не прибегая к помощи опсосов за 7-15 евро, сопоставить мои паспортные данные и мобильный телефон.
      
      И ещё — предложите как с этим бороться. Есть идея пользоваться телефоном, зарегистрированным на жену или другого родственника. Тогда сервисные службы не смогу сматчить номер телефона и паспортные данные. Но против перебора такая схема не устоит.
      - Drebin893 сегодня в 00:42
        
        +2
        
        Я бы вообще рекомендовал редуцировать любую идентификацию. Жене и родственникам тоже не за чем себя идентифицировать. Простые сим-карты из известных мест продажи никуда не исчезали.
        
        Для чувствительных мест аутентификации (банки и т.п.), где могут возникнуть проблемы при потере доступа к номеру телефона, можно держать одну идентифицированную сим-карту, но ни в коем случае нигде не светить этим номером.
        
        gecube сегодня в 01:05
        
        0
        
        Накладно (доп. расходы и просто надо думать про это). Но это действительно плата за безопасность.
        
        Am0ralist сегодня в 10:18
        
        0
        
        Простые сим-карты из известных мест продажи никуда не исчезали.
        
        Это оформленные на левого чувака или вообще корпоративные? Предлагаете привязывать к ним аккаунты и банки???
        
        Drebin893 сегодня в 12:52
        
        +1
        
        Корпоративные не советую использовать вообще. Там нет нормального ЛК в большинстве случаев, а в корпоративный ЛК вам доступ никто не даст (там данные сразу по всем номерам компании).
        
        «Оформленные на левого чувака» — да, как ни странно, могут быть вполне надежны. В 2018 году были новости, что операторы будут проверять валидность персональных данных, сверяя их с государственными базами. По факту массового отключения номеров не последовало. И да, валидность данных гражданина иностранного государства они проверить никак не могут, так что традиционно оформленные на армянина Артака Авакяна будут работать без проблем.
        
        Diam77 сегодня в 14:28
        
        0
        
        Смс-ка была. Что вам-де нужно посетить офис оператора и засветиться там. Разумеется, никуда не ходил, но стал предупрежден, что можно ожидать чего угодно. Дальше посмотрим.
        
        Drebin893 сегодня в 15:18
        
        0
        
        Отключать платящих клиентов резона никакого нет. Гораздо проще из аннулированных за неактивность (неплатящих) в течении 90-180 дней сделать выборку неидентифицированных, и отчитаться потом по ним.
        
        Diam77 сегодня в 15:25
        
        0
        
        Это да. Но до тех пор, пока их контролёры не начнут ловить на живца. Т.е., кстати говоря, делать то, что тут на хабре именуется как раздобыть «ваши доказательства». Полагаю, для них это незаконным являться не будет.
        Тогда уже выборкой по мертвым душам не обойтись.
        
        Am0ralist сегодня в 16:55
        
        0
        
        «Оформленные на левого чувака» — да, как ни странно, могут быть вполне надежны.
        По принципу ошибки выжившего?
        Ибо там даже вашего паспорта не надо, чтоб потом перевыпустить симку.
        
        Drebin893 сегодня в 17:18
        
        0
        
        Там такая ротация файлов с ПД, на которые оформляются левые номера, что вероятность этого невелика. Плюс, многие сим-карты забиваются вообще на рандомные данные.
        
        В ваших словах тоже есть здравая позиция. Поэтому в одном из сообщений выше я советовал все же держать одну идентифицированную сим-карту, но исключительно для банков.
        
        Diam77 сегодня в 14:26
        
        0
        
        Так так и делаем. Одна идентифицированная не светимая нигде, и…
        
        tvr сегодня в 17:05
        
        0
        
        Одна идентифицированная не светимая нигде
        
        «Одно кольцо, что б править всеми...»
        И потом она сдыхает по неактивности, ибо вы с неё не совершали платных телодвижений (не светимая же нигде) некоторое время…
        
        Diam77 сегодня в 17:12
        
        0
        
        Я не так выразился, пардон. Это симка для мамы/папы/жены/ребенка, т.е. активно юзается. Плюс там пакетный тариф с ежемесячой платой, в т.ч. за домашний инет. Т.е. не сдохнет она. Но прежде, чем дать этот номер другу — думаю долго, так как для них есть своя. А не светимая — это значит её нет ни в одном инет-магазине, банке, инет-аккаунте. Т.е. всем тем, кому нет доверия по сливу никакого.
        
        tvr сегодня в 17:19
        
        0
        
        Это симка для мамы/папы/жены/ребенка, т.е. активно юзается.
        
        Тогда она таки засвечена по полной и привязана к вашему, и не только, графу связей. Т.е. такой вариант не работает/ничем не отличается от обычного юзкейса.
        Единственный вариант — да, практически неиспользуемая симка с кучей напоминалок о том, что пора бы позвонить куда-нить в справочную/проверить баланс, торчащая в тупейшей звонилке, не выносимой из дома.
        
        Diam77 сегодня в 17:26
        
        0
        
        Так-то я согласен, но и не ставил цели отвязаться от графа. А только лишь от спама и, по максимуму, от присутствия во всех базах, которые не силовиков. Под «обычным юзеркейсом» же понимаю оставление номера везде, где требуется, в т.ч. с риском спама.
  - Endeavour сегодня в 12:59
    
    0
    Все время, которое я владею паспортом, я не понимаю одной вещи.
    Почему сочетания 10 цифр и нескольких слов достаточно для проведения уймы действий, при этом физическое присутствие настоящего владельца этих данных вовсе необязательно.
    
    По-моему, налицо системная проблема в принятии этих данных как согласия их владельца на что угодно.
    - Drebin893 сегодня в 13:05
      
      +1
      
      Мне всегда был интересен несколько иной вопрос: почему в России в качестве внутреннего паспорта до сих пор используется эта убогая книжка советского образца, в то время как во всем мире используется ID-карточка.
      - DistortNeo сегодня в 13:15
        
        +1
        
        Потому что причина этому — технологическая отсталость и всеобщее раздолбайство.
        Посмотрите, какой бардак творится в налоговой и ПФР. Люди имеют по нескольку ИНН из-за технических ошибок. Люди теряют пенсии из-за того, что система вдруг назначила номер соцстраха другому человеку. Хотели бы, чтобы и с паспортами было так же?
        
        Drebin893 сегодня в 13:33
        
        0
        
        Еще встречал мнение, что виной тому толпа чокнутых, которые вкладывают мистическо-религиозный смысл во введение ID-документов. С их точки зрения, введение идентификационных номеров человека — предвестник не то конца света, не то еще какого цирка с конями.
        
        В России таких поехвавших очень много. Ну, это из тех, кто верит в масонский заговор, мировое правительство, отрицают прививки, ВИЧ и далее по списку. Некоторые заявляют, что СССР еще «юридически существует» и с упоением рассказывают о советском рубле. У других бюст царя мироточит, что сути не меняет.
        
        Но догадываетесь, чей это электорат. С электоратом ссориться как-то не комильфо.
        
        abar сегодня в 13:51
        
        0
        
        Вот бы сейчас, живя и успешно работая в Европе, волноваться из-за электората России и пытаться спровоцировать срачь по поводу качества внутренних Российских паспартов на техническом ресурсе.
        
        Drebin893 сегодня в 14:08
        
        0
        
        А что, дислокация что-то меняет?
        
        Мне лично дико неприятно, что Россия и Таджикистан — это единственные на постсоветском пространстве страны, где существует еще эта мерзкая советская книжка, именуемая «паспортом» (во всем мире Passport — это то, что в России называют «заграничный паспорт»).
        
        Россия — очень развитое в плане IT государство. Давно пора избавиться от старых внутренних паспортов, которые содержат бесконечные идиотские «кем выдан», «код подразделения», «сведения о браке», «место регистрации» и прочий маразм. Еще же и штампы туда ставят. Вот заключили люди брак — штамп в паспорт, зарегистрировался официально в квартире — штамп в паспорт. Даже когда выдают т.н. «заграничный паспорт», то ставят штамп в обычный, мол, экий гад, «заграницу» он собрался.
        
        Примерно так же, как в веселые советские годы в гостиницу бы не заселили пару, если в паспорте сведения о браке не совпадают, или вовсе отсутствуют.
        
        Для меня эта книжечка — знаковый символ. Ее форм-фактор создан специально для того, чтобы устроить этот советский липкий контроль над гражданами, чтоб очередной сутулый ведомственный сотрудник эту книжечку перелистывал, внимательно все штампы изучал. «А кем выдан?? ФМС гор. Усть-колхозного, или ФМС г. Усть-колхозного?? а дефис там есть??» Просто дикий маразм в XXI веке.
        
        В Армении отказались от паспортов в пользу биометрических ID. В Азербайджане отказались. В Казахстане отказались. В Украине отказались. В Беларуси внедрение ID-карт происходит в настоящем времени.
        
        bydm сегодня в 14:59
        
        0
        
        Никогда не понимал, зачем в комментариях обсуждать то, что не имеет отношения к посту.
        Вы же, вроде как, за соблюдение законов и правил. Или правила «Хабра» европейцу можно игнорировать?
        
        Вот список того, чего на ресурсе делать не следует:
        …
        Путать сайт с жалобной книгой
        Если у вас проблемы с сотовым оператором, с провайдером интернета или хостинга, или с чем-то ещё, всегда можно связаться со службой поддержки нужного вам ресурса. Или с компетентными органами. Но не следует использовать «Хабр» как рупор, дабы рассказать всем о постигшей вас ситуации.
        ...
        
        Да, в России всё ещё есть бумажный паспорт. Но ваше его неприятие к теме поста никакого отношения не имеет.
        
        Drebin893 сегодня в 15:06
        
        0
        
        Вы же, вроде как, за соблюдение законов и правил. Или правила «Хабра» европейцу можно игнорировать?
        Поздравляю, вы привели именно ту цитату из правил, которой всегда прикрывались модераторы хабра, когда в статьях писали неудобные вещи о коммерческих компаниях, которые имеют на хабре свои профильные блоги. Поэтому в статьях и замазывают названия банков и сотовых операторов.
        
        Да, в России всё ещё есть бумажный паспорт. Но ваше его неприятие к теме поста никакого отношения не имеет.
        Никогда не понимал, зачем в комментариях обсуждать то, что не имеет отношения к посту.
        Ошибаетесь, имеет самое прямое. Это вишенка на торте в системе, где с персональными данными и приватностью полное болото. Статья отчасти именно об этом.
        
        bydm сегодня в 15:17
        
        0
        
        Поздравляю, вы привели именно ту цитату из правил, которой всегда прикрывались модераторы хабра, когда в статьях писали неудобные вещи о коммерческих компаниях, которые имеют на хабре свои профильные блоги. Поэтому в статьях и замазывают названия банков и сотовых операторов.
        
        Это лишь в минус модераторам ресурса. Если в статье озвучена не единичная жалоба («У меня украли деньги!»), а конкретные технические подробности, особенно если подробности напрямую связаны с содержанием статьи (как в этой статье, например: схема работоспособна только для определённого оператора), то скрывать названия, боясь за рекламные контракты — верный путь к политике «Первого канала».
        
        Ошибаетесь, имеет самое прямое. Это вишенка на торте в системе, где с персональными данными и приватностью полное болото. Статья отчасти именно об этом.
        
        А какая разница, утекут данные бумажного паспорта или данные пластиковой ID-карты? Вопрос же будет заключаться в том, как на основании нового документа будут идентифицировать личность, а не в том, какую форму он будет иметь.
        
        Drebin893 сегодня в 15:33
        
        0
        
        А какая разница, утекут данные бумажного паспорта или данные пластиковой ID-карты? Вопрос же будет заключаться в том, как на основании нового документа будут идентифицировать личность, а не в том, какую форму он будет иметь.
        
        Без запроса в государственные базы, ID-карта идентифицирует только ФИО человека и дату его рождения.
        
        Если у операторов связи будет только связка ФИО + дату рождения + номер ID-карты, то в случае пробива по номеру телефона злоумышленник сможет получить лишь их. Сейчас же он получает ФИО + дату рождения + номер паспорта (кем выдан и т.п, будем считать это неважными метаданными) + адрес клиента.
        
        И сам форм-фактор принципиально отличается.
        
        ID-карту можно спокойно дать в руки сотруднику любой коммерческой компании, требующей удостоверяющий личность документ, сотруднику банка, сотруднику любой государственной ведомственной службы (например, ГАИ).
        
        Это совсем не одно и то же, чем дать паспорт, который будут внимательно изучать, листать грязными пальцами, оставляя жирные пятна на бумаге и т.п. Пластик же можно просто вытереть.
        
        Информацию об адресе человека и семейном положении считаю приватной. В случае необходимости ее может узнать только компетентный и имеющий на то полномочия сотрудник, осуществив запрос по номеру ID-карты в государственную базу. Желательно еще чтобы эта база не была такой же дырявой, как сейчас все государственные базы (Роспаспорт, ИБД-Р — это тихий ужас).
        
        Остальным совсем необязательно знать, сколько у меня детей, сколько раз я состоял в браке (и состою ли вообще), какой у меня адрес регистрации, и есть ли у меня т.н. «заграничный паспорт».
        
        gecube сегодня в 15:38
        
        +1
        
        Я еще хочу добавить пример, что информация о семейном положении может быть в паспорте неактуальной. В бытность, мой отец, когда моя мама с ним развелась, не сходил на суд и как следствие — уже де факто будучи разведенным, у него в паспорте соответствующего штампа не было, т.е. как будто он все еще женат… Как бы залет. Я уж не говорю про внесение детей — это отдельная морока.
        
        bydm сегодня в 21:29
        
        0
        
        Так в том и вопрос, юридический, прежде всего, что, как, для кого, при каких условиях будет удостоверять ID-карта и какие данные о пользователе будут затребованы агентом ПД.
        Те же паспортные данные от оператора утекают не потому, что у нас паспорт бумажный, а потому, что покупая сим-карту, я заключаю с оператором договор. Юридический документ. Который содержит данные обеих сторон, которые потом достаточны для осуществления диалога, официальной переписки, досудебного и судебного общения. При этом нам, сторонам, не потребуется обращение в ещё один орган для получения контактов друг друга. Да и нелогично такое обращение, договор только между двумя сторонами.
        А мои данные утекают уже потом, из подписанного договора. Точно так же утекут и данные, взятые из ID-карты.
        Так что простая смена формы проблемы не решит.
        Проблема утечки данных — это другая проблема. Если оператору сотовой связи будет достаточно ФИО, даты рождения и номера карты, то проблема будет даже больше. Сейчас для реализации описанной в статье схемы взлома нам потребовался массив данных с чёрного рынка (номер, место и дата выдачи, адрес и т.п.). А если в договоре с оператором будет значится только номер ID-карты, для идентификации меня перед оператором будет достаточно назвать только его? Или будет канал проверки ID-карты? Но новый канал работы — новые «дыры» в безопасности и новые каналы утечки.
        Я не утверждаю, что переход на ID-карту невозможен. Но всё же форма документа (бумажная книжка, карта, чип в теле), удостоверяющего личность, и слабая защищённость ПД и их торговля нечистыми на руку сотрудниками имеют слабую связь. И менять форму с мыслью, что этот шаг серьёзно поднимет безопасность ПД — заблуждение, как мне видится.
        
        stanislavkulikov сегодня в 19:51
        
        0
        
        Так уже с 2011 года как существует УЭК — универсальная электронная карта. Карта совмещала в себе функциональность платежного средства, удостоверения личности и других важнейших документов гражданина.
        Выдавалась желающим по заявлениям и за эти годы было выдано 147 тыс. карт. Но первый эксперимент решено считать неудачным (по необъяснённым причинам). И теперь (ну как теперь, 3 года назад) стартовал проект Единого Электронного Паспорта, которые будут выдавать по заявлениям с 2021 года, а массовая выдача планируется с 2024.
      - gecube сегодня в 13:15
        
        0
        
        Тут еще проблема всплывает. Номер паспорта — это по сути номер бланка, на котором он напечатан. И он хоть и уникален, но может меняться. Причем весьма часто (хоть каждый год паспорт меняй, только пошлину плати).
        Те же ИНН и пенсионного («СНИЛС») являются уникальными идентификаторами человека на протяжении всей жизни. И не меняются. Даже в экстренных случаях (смена имени, уточнение даты и места рождения, смена пола....)
        
        DistortNeo сегодня в 13:19
        
        0
        
        Номер паспорта — это по сути номер бланка, на котором он напечатан. И он хоть и уникален, но может меняться
        Не-а. Вполне возможно существование нескольких людей с одинаковыми номерами паспортов, но выданных в разных отделениях. Единичные случаи имеются. Собственно, это одна из причин, почему с номером паспорта всегда требуют, кем и когда он был выдан.
        
        Те же ИНН и пенсионного («СНИЛС») являются уникальными идентификаторами человека на протяжении всей жизни. И не меняются. Даже в экстренных случаях (смена имени, уточнение даты и места рождения, смена пола....)
        Вполне себе меняются из-за ошибок в системах. И пока такие случаи довольно часты, ни о какой ID-карте речь идти не может.
        
        gecube сегодня в 13:23
        
        0
        
        извините, про указанные Вами случаи не в курсе. Я же простой обыватель :)
        и смотрю с чисто бытовой точки зрения.
        Если расскажете подробнее, то, думаю, это будет полезно всем.
        
        DistortNeo сегодня в 13:31
        
        0
        
        А чего рассказывать? У тёщи два разных ИНН в двух регионах — это совсем частая ситуация. У налоговиков вообще туго с базами: они почему-то не могут сами сказать, сколько налогов я им заплатил, до сих пор приходится справки 2НДФЛ с работы брать.
        
        Про ПФР:
        regnum.ru/news/2537265.html
        
        Про паспорта:
        echo.msk.ru/blog/kanakovaek/1514936-echo
    - gecube сегодня в 13:16
      
      0
      
      Полностью поддерживаю.
      Но нужно разделить все сервисы, которые получает потенциальный пользователь, по масштабам разрушений, если была украдена или подделана личность.
      Условно — звонок в техпод провайдера от моего лица другим лицом — ничего страшного, ну, край без интернета посижу.
      А вот с банком и моб. операторами — это может привести к гораздо более серьезным финансовым проблемам.
    - Diam77 сегодня в 14:31
      
      0
      
      при этом физическое присутствие настоящего владельца этих данных вовсе необязательно.
      
      Обязательно. Но проверить это потом ~~нельзя~~ трудно. Представим себе гипотетический допрос сотрудника того же ОПСОСа. Приходил такой-то? Приходил. Показывал паспорт? Показывал. Чем докажете? Вот, сняли ксерокопию. А чем докажете, что это именно он был? Глазами смотрели, он был.
      - gecube сегодня в 15:05
        
        0
        
        Видеозапись с места. Банки — так вообще уже ввели требования, что нужно с веб-камеры снять фото человека, если он кредит берет.
        
        Diam77 сегодня в 15:27
        
        0
        
        Давно не брал, а везде так уже? Когда брал крайний раз, меня только один захотел снять. Отчасти из-за этого я взял не у него.
        
        gecube сегодня в 15:36
        
        0
        
        ВТБ, Сбер, Альфа — так точно.
        Остальные не знаю.
- UnclShura вчера в 23:09
  +2
  А вы считаете это не вина ВК, что такое возможно? Все замарались. Если канал подтверждения по смс ненадежен, его надо или помериться как ненадежный и предложить по дефолту что-то другое или не использовать вовсе.
  - Revertis вчера в 23:19
    
    0
    Paranoid mode on:
    Что-то другое не привязано к вашим паспортным данным. А именно это и есть цель привязки телефона, скорее всего.
    - Drebin893 вчера в 23:32
      
      +6
      
      Привязка номера телефона к социальным сетям — требование государственных структур РФ.
      
      Спасибо им за это! Ну и всей иерархии (от владельцев до младших сотрудников) ресурсов с многомиллионной аудиторией, которые имеют все возможности влиять на общественное мнение, но послушно выполняют все требования, двойное спасибо.
  - tyderh сегодня в 11:59
    
    +2
    Особенно забавляет «двухфакторная» аутентификация, которую можно обойти одним фактором.
    - sumanai сегодня в 19:42
      
      0
      
      Она в 99% процентов случаев такая.
- x67 сегодня в 08:21
  0
  Сейчас очень легко скомпрометировать эти данные даже ничего не сделав. Давно пора отказываться от них как от секретного ключа без проверки подлинности доков и юридически обоснованной связи представителя этих данных с субъектом
- DistortNeo сегодня в 12:21
  0
  Сейчас почти любой несанкционированный доступ осуществляется с помощью методов социнженерии, а не уязвимостях в софте.
simonov_o вчера в 23:17
+1
Опять Билайн впереди планеты всей. Похоже, что пора менять оператора. Написал в службу поддержки с ссылкой на эту тему, посмотрим, что ответят.
ValdikSS вчера в 23:19
0
Зачем что-либо замазывать на скриншотах? Чем вы руководствовались, когда это делали?
- Drebin893 вчера в 23:25
  +4
  Чтобы благодаря близкому сотрудничеству замазанного оператора и НЛО, статья не улетела туда, где не светит солнце.
  - Cerberuser сегодня в 05:37
    
    +1
    Спасибо, автор. Ваш ответ сильно меняет восприятие обсуждения парой веток выше. Вернее, не сам ответ, а определённые его метаданные.
    - ValdikSS сегодня в 10:01
      
      0
      
      Drebin893 — не автор статьи. Хотелось бы, чтобы на вопрос ответил php_freelancer.
- bydm сегодня в 09:52
  +4
  Я понимаю замазанные номер и паспортные данные. Это логично.
  Но замазать название сотового оператора? И не замазать при этом названия других операторов?
  Вся схема этого взлома основана на двух основных моментах:
  1. Возможности приобретения чужих паспортных данных.
  2. Уязвимости в службе поддержки конкретного оператора, которые позволяют через чат «Вконтакте» включить переадресацию для абонентского номера.
  Информация о том, какой оператор имеет в безопасности такую дыру является ключевой для статьи! Тем более, для технической статьи на техническом ресурсе. Кроме того, такая информация, как минимум, позволяет другим читателям проверить работоспособность данного метода, хотя бы используя паспортные данные того лица, кто согласен на эксперимент. Например, я могу договориться с супругой/другом/коллегой, использовать их паспортные данные и свой номер телефона и проверить работоспособность схемы.
  Если у нас технический ресурс и техническая статья, то в ней должна быть вся информация, чтобы другие могли её верифицировать. Включая явное указание названия оператора. А без него — это развлекательная статья для развлекательного ресурса. Как я могу быть уверенным в том, что чат с замазанным названием оператора происходил действительно с сотрудником оператора, а не с «левым» аккаунтом?
  Близкое сотрудничество НЛО с оператором — это вообще смешно. «Он нам деньги платит, и мы про него плохое не пишем», — так что ли? Так такому НЛО самое место на «Первом канале», там такое НЛО любят. А техническому порталу с таким НЛО лучше в помойку.
  - Drebin893 сегодня в 12:54
    
    +2
    Близкое сотрудничество НЛО с оператором — это вообще смешно. «Он нам деньги платит, и мы про него плохое не пишем», — так что ли? Так такому НЛО самое место на «Первом канале», там такое НЛО любят. А техническому порталу с таким НЛО лучше в помойку.
    
    Добро пожаловать в реальность. Правила игры никто не отменял.
  - Hardcoin сегодня в 13:57
    
    0
    Варианта всего два. Билайн или Теле2. Из-за того, что вы не знаете, какой из них — сразу на помойку?
    
    Как я могу быть уверенным в том, что чат с замазанным названием оператора происходил действительно с сотрудником оператора
    Вот ниже скриншот от Мегафона. Вы уверены, что диалог происходит с сотрудником Мегафона? Если да, у меня для вас плохие новости. Можно сделать такой чат с другом, а потом поменять ник или текст через development panel.
    
    Верить вы можете только с определенной вероятностью. 100% доказательства вряд ли возможны в данном случае. Не у нотариуса же заверять диалог?
    - bydm сегодня в 15:39
      
      0
      
      Не сразу на помойку, разумеется.
      Но лично у меня положительное отношение к статье сразу снижается, когда вижу такие вот сокрытия.
      Всё же, я надеюсь, «Хабр» — ресурс технический. Для технической статьи хорошо, когда в ней представлена вся информация, затрагивающая проблему. Особенно, когда эта информация явно известна. Это позволяет читателям проверить все предоставленные факты, провести исследование самому, возможно, опровергнуть предоставленные сведения.
      А здесь же ключевая информация, имеющая непосредственное отношение с схеме взлома страницы «Вконтакте», скрыта. Зачем? Это снижает ценность статьи, ведь это лишь благодаря «дыре» конкретного оператора взлом возможен. А вместо использования информации из статьи я должен угадывать оператора. Это похоже на статьи в газетах, где «по информации из анонимных источников». Звучать может правдиво, но информация будет нести и меньшую степень доверия, и требовать ещё большей верификации.
  - Occama сегодня в 15:41
    
    0
    Но замазать название сотового оператора? И не замазать при этом названия других операторов?
    
    У меня такое чувство, что это было очень пошло выполненное свидетельство канарейки. То есть как бы не говорится о том, что сливает конкретный оператор, не называется, что это за оператор, но в итоге все всё поняли. Несмотря на то, что к пчелайну отношусь не очень, но это выглядит заказухой какой-то. (Нет, бритва Хэнлона работает, я с лёгкостью поверю, что это действительно так, но лучше бы уж автор контрпримеров от других операторов не приводил, а то слишком уж подозрительно выглядит)
    - tcapb1 сегодня в 15:45
      
      0
      
      Я в комментах чуть ниже кидал аналогичную историю с МТС. Понимаю, что такое может выглядеть подозрительно, но история распространённая и уже подтверждённая другими комментаторами. Думаю, это не тот случай, когда надо умножать сущности.
  - me21 сегодня в 16:22
    
    0
    del
UksusoFF вчера в 23:21
0
Регистрация через мобильник вообще зло.
Несколько раз оформлял временные симки официально, каждый раз к ним был привязан чейто профиль в ВК.
И это при том что спустя три месяца не использования оператор спокойно продает твой номер другому.
- simonov_o вчера в 23:43
  0
  Операторы (МТС, Билайн) раньше только через полгода (180 дней) деактивировали номера, если они не пополнялись и не использовались. Неужели сроки сократили до трёх месяцев?
  - UksusoFF сегодня в 07:34
    
    0
    Мегафон мне через три месяца отрубил. Причем входящие звонки не считаются. Должен быть хотя бы один исходящий или СМС.
  - lexxcorp сегодня в 08:05
    
    0
    Уже больше как
    - lexxcorp сегодня в 08:06
      
      0
      
      Года*
  - ksenobayt сегодня в 12:08
    
    0
    120 дней на Теле2, к примеру.
  - Diam77 сегодня в 14:34
    
    0
    Да, сократили. В офисе Теле2 мне прямым текстом сказали: цель оператора- выручка с симки. Нет выручки — нет симки.
    В общем, у меня стоит напоминалка — один раз в квартал отправить одну смску со всех карт.
Drebin893 вчера в 23:23
+5
Полный идиотизм, что такую важную функцию, как переадресация вызова, можно подключить просто написав в социальной сети представителю оператору связи. Впрочем, сохраняется вариант найти сотрудника, имеющего доступ в информационную систему оператора, который может помочь с таким делом: кто ищет, тот найдет. Эти, с позволения сказать, «услуги» на черном рынке есть в изобилии, но стоят достаточно дорого в зависимости от типа работ.

Ну а паспортные данные, на которые зарегистрирована сим-карта российского оператора, раздобыть вообще не проблема, здесь и стоимость работы минимальная, и самая «услуга» самая ходовая.
- stardust1 вчера в 23:50
  –4
  У меня такое ощущение, что Вы как будто вчера родились. Вы только узнали, что можно купить информацию о вас? Или что есть люди, которые недоборосовестно выполняет свою работу?
  - Drebin893 сегодня в 00:29
    
    0
    И действительно, ведь все мы не вчера родились. Зачем говорить об извечных проблемах, поговорить что ли правда не о чем больше?
    
    Давайте хит сезона, фильм Т-34 лучше обсудим.
dartraiden сегодня в 00:33
0
В 2016 году национальный институт стандартов и технологий США (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации, но и по сей сервисы и пользователи используют возможность получить SMS/принять звонок, как основной способ подтверждения «да я это, я». Как минимум, включите использование одноразовых для входа в аккаунт.
- valera5505 сегодня в 11:39
  0
  И как это поможет, если коды всё равно могут приходить на телефон?
  - DistortNeo сегодня в 12:27
    
    0
    Именно это и поможет, потому что коды не смогут приходить на другой телефон.
  - dartraiden сегодня в 16:41
    
    0
    Если включена двухфакторная авторизация, то сбросить пароль по SMS уже нельзя, об этом написано в подсказке (наведите на знак вопроса).
    
    При этом, код двухфакторной авторизации всё равно можно получить по SMS, но чтобы его запросить, надо знать текущий пароль. А пароля злоумышленник, описанный в этой статье, не знал.
    
    Резюмируя:
    — если двухфакторная авторизация выключена, то для входа в аккаунт достаточно либо знать пароль, либо перехватить звонок робота на телефон для сброса пароля.
    
    — если двухфакторная авторизация (неважно, с приложением TOTP, с получением второго фактора по SMS, с получением его пушами из приложения VK) включена, то для входа нужно знать пароль и перехватить SMS. А для сброса пароля нужно получить доступ к почте, что сложнее, чем перехватить SMS.
Chupaka сегодня в 00:43
+5
Почему в комментариях до сих пор не проскочила мысль о том, что ВК из двухфакторной аутентификации/авторизации сделал какую-то полуторафакторную, разрешив одному из факторов влиять на второй? Вот если бы пароль менялся только, например, письмом на почту — тогда надо было бы в общем случае компрометировать оба фактора. А вот с такими безопасниками и маркетологами 2FA становится чем угодно кроме того, чем оно должно быть.
- tcapb1 сегодня в 02:28
  +1
  В этом случае при потере доступа к почте в свой аккаунт было бы никак не войти. Так как ВК — сайт для самых широких слоёв населения, то потеря доступа к email — думаю довольно частый случай. Надо же как-то в этом случае свои аккаунты восстанавливать?
  - Chupaka сегодня в 09:05
    
    +2
    Для этого есть регистрация по номеру телефона. И в параллельной вселенной для нерукожопых желающих есть возможность к ней подключить второй фактор в виде какого-нибудь Google Authenticator, например. Но делать из двухфакторной аутентификации обычную регистрацию через СМС и продавать под видом двухфакторной — это попахивает.
  - MikailBag сегодня в 13:31
    
    0
    Для широкой общественности есть однофакторная.
- dartraiden сегодня в 16:55
  0
  Вот если бы пароль менялся только, например, письмом на почту — тогда надо было бы в общем случае компрометировать оба фактора.
  
  Если включена 2-факторная авторизация, то пароль меняется только письмом на почту (либо отправкой личного сообщения на устройство, где пользователь залогинен).
  
  Поэтому мысль должна быть другая — почему топикстартер поленился её включить.
JTProg сегодня в 01:42
0
Довольно интересное название статьи. А сама суть лишь о том, что надо найти скан паспорта жертвы. Ну да ладно. Простой и безобидный пример на основе отечественной «корпорации добра» — и почему я не удивлён?!
У меня наверное вопрос даже не столько к автору статьи, сколько в целом к народу что ли: сколько отечественных и не очень сервисов (соцсети, мессенджеры, банкинг, что_угодно) используют аппаратные токены как второй фактор?
На территории Рунета я видел (не искал в принципе, а так наткнулся), что можно аппаратный второй фактор использовать на портале Госуслуг. Гипотетически на сайте «большого зеленого банка». А где ещё?
- Vilgelm сегодня в 10:04
  +1
  В случае с банками использование аппаратного токена довольно частый сценарий если речь идет про юрлиц.
- Archon сегодня в 12:03
  0
  Сравнительно недавно в «маленьком зелёном банке» на букву «А» аппаратные токены использовались даже для физлиц. Теперь вроде бы уже не используются, но возможность подтверждать операции кодами со скретч-карт, судя по информации на сайте, всё ещё есть.
  
  Такие скретч-карты — это полноценный второй фактор авторизации, который практически невозможно взломать, разве что только утащить её целиком. Причём в отличие от чека с кодами из банкомата, её нельзя по-тихому сфотографировать и положить обратно. Примерно так выглядела моя, когда у меня ещё был договор с этим банком.
- stanislavkulikov сегодня в 20:15
  0
  Аппаратные токены используются почти во всех банках, но только для юриков. Но надо понимать, что это атавизм, а для обслуживания физ.лиц принято использовать новые технологии. Поэтому сейчас во многих банках, в качестве второго фактора можно использовать одноразовые сеансовые ключи (по сути то же самое, но генерируется не железякой, а приложением на телефоне).
  Ну и старые-добрые скретч-карты никуда не делись.
FlamyXD сегодня в 01:59
0
Кстати можно сказать спасибо GDPR за возможность почти на любом веб-сайте иметь возможность скачать архив со всеми данными об аккаунте без написания скриптов.
- Am0ralist сегодня в 10:23
  0
  Ну, в вк эта операция занимает пару часов (от обращения до генерации архива) и не факт, что её можно провести сразу после восстановления пароля (автору это надо было проверить).
  Так что если быстро реагировать… с другой стороны, операции можно проводить ночью, когда никто не среагирует.
  - php_freelancer сегодня в 10:35
    
    0
    Так я ж и не говорю про функционал скачивания архива со всеми данными, я говорю про самописный скрипт, который скачает все самостоятельно в нужном формате. С вопросом скорости можно даже заморочиться, я недавно писал системку, которая «обходит» блокировку на > 1 запроса в секунду к вк. Суть такова, что программа делает запросы с разных серверов под одним и тем же аккаунтом (под одним ли токеном — не знаю, но не суть). Были проблемы с отправкой сообщений, постов и т.п., но с получением чего-либо — еще ни разу. 5 серверов с разными IP = как минимум 5 запросов в секунду можно делать спокойно, грубо говоря. Страницы не банили.
    - Am0ralist сегодня в 10:55
      
      0
      
      Ну а я отвечал пользователю именно про все данные об аккаунтах, которые сайты теперь выдают из-за GDPR.
arelay сегодня в 03:37
–2
Статья — полная кальяка с видео, где блогер разбирает эту ситуацию, возможно эмоционально и не компетентно, однако стоит указать источник.
Даже фразы одни и те же:"что он успеет сделать за 2 минуты"
Пруф, оригинал видео удалили.
- arelay сегодня в 03:38
  –2
  youtu be QO_gMqkw3uM
  Ссылку режет.
- php_freelancer сегодня в 09:39
  +3
  И?) Способ уже много где гуляет по сети, информация стара как мир. Мотивация и весь материал был взят с других мест и опять же, я не говорю, что все это придумал я (да и тут нечего придумывать).
  forum.yurclub.ru/index.php?showtopic=382172 — вот, как минимум. Да и погуглить можно, как угоняют номера — найдется информация и за 2016 год.
  
  Если вы про канал GERASEV, то тут я с вами не соглашусь. Видео я тоже видел, даже хотел вставить его сюда, как пример того, что данный способ получения доступа к чужому аккаунту афишируют блогеры и теперь любой нынешний 5-классник сможет воспроизвести все эти действия и получить доступ к аккаунту чужого человека.
  
  Единственное что, переписки в видео все ненастоящие. Блогер как минимум утверждает, что практически все мобильные операторы недобросовестные, на деле оказался недобросовестным только один. И рекламирует он фигню какую-то.
  - unel сегодня в 12:42
    
    0
    Думаю, тут загвоздка не в операторе связи, а в конкретном человеке, что вам отвечает: кто-то может откликнуться, если Ваша история покажется убедительной (или у него недостаточно опыта), а кто-то ответит по шаблону, что так нельзя
ebragim сегодня в 03:48
–9
Благодаря таким статьям неплохо подскакивает доход разводил в этом вашем «даркнете». Вы серьёзно думаете, что там есть хотя бы 1% людей, реально продающих чьи-то персональные данные? Или это такой способ поднять себе прибыль?
Да откройте уже глаза, и хватит вешать на уши лапшу про «в даркнете можно купить всё». Нет, нельзя. Это способ прикинуться злобным хацкером или продавцом информации, чтобы доверчивые лошки, которые хотят сделать что-то нелегальное, понесли вам свои деньги, да ещё и в биткоинах. Количество «форумов с историей в 10 лет, отзывами и гарантами из самых уважаемых членов сообщества» плодится с огромной скоростью, и естественно все берут предоплату — гаранты же.
- Moskus сегодня в 06:00
  +3
  То, что вокруг этого есть множество мошенников, которые играют на глупости, не означает, что купить (а иногда — и получить бесплатно) личные данные — нельзя. Потому, это все что вы написали — это straw man argument, он же — подмена тезиса.
- agat000 сегодня в 08:04
  +5
  Развод — разовый доход.
  Честная работа — постоянные заказы, постоянные клиенты, развитие бизнеса. Понимаете?
  - ebragim сегодня в 16:52
    
    0
    Развод — «лохов много», не нужен ресурс.
    Честная работа — ищи клиентов, создавай репутацию, рискуй вполне реальным сроком, ещё и административный/хакерский ресурс нужен.
    Понимаете?
    Клиент, который хочет получить что-то нелегальное, никогда не пойдёт жаловаться. Отзывов о качестве работы вы никогда не получите реальных, потому что это будут такие же анонимы из сети (что, как я уже писал, подделывается легко), либо ваши знакомые — а много у среднестатистического гражданина знакомых, покупавших чужие персональные данные или что-то подобное?
    Я действительно не понимаю, как можно быть такими наивными и верить во всю эту чушь, уровня «я хацкер, мне надо обналичивать ворованные кредитки, переведи мне половину стоимости товара, а я ворованной кредиткой его оплачу и через камеру хранения тебе передам». И форум с 8 годами истории и полумиллионом постов, якобы подтверждающими правоту «хацкера».
    Такие же площадки я видел, связанные с покупкой/продажей данных, взломом аккаунтов, продажей документов… Это просто способ развода. Мне даже какой-то спам прелагал развёртывание такого сайта «под ключ».
    - Drebin893 сегодня в 17:23
      
      0
      
      Вы очень наивный человек.
      
      я хацкер, мне надо обналичивать ворованные кредитки, переведи мне половину стоимости товара, а я ворованной кредиткой его оплачу и через камеру хранения тебе передам
      Это называется «заливы». Основная движуха вокруг них происходит на совсем других ресурсах. И к сведению, с наличкой и камерами хранения никто уже давно не работает.
nanshakov сегодня в 06:54
–3
Интересно каким такими скриптом вы все скопируйте с аккаунта при довольно большом ограничении на лимиты вызовов апи.
- ne555 сегодня в 09:04
  +2
  Первое, что попалось
  codeby.net/threads/python-dump-vk-foto-dokumenty-dialogi-vlozhenija.66038
  github.com/hikiko4ern/vk_dump
  Оно?
- php_freelancer сегодня в 10:39
  0
  habr.com/post/435916/#comment_19610366 — если интересно
ledocool сегодня в 08:27
–1
Не понимаю почему люди вообще считают двухфакторную дыру безопасностью.

Это можно считать безопасностью только если мобильник является дополнительным условием для логина, но никак не позволяет восстановить аккаунт. А так получается что вы отдали ключи от квартиры цыганам, а потом удивляетесь что еда из холодильника пропала.
simonov_o сегодня в 09:58
+3
Получил ответ от службы поддержки. Действительно, у Билайна огромная дыра в этом направлении и широкое поле деятельности для мошенников. Ниже скриншот ответа. Выводы делайте сами.
- trublast сегодня в 12:26
  +3
  То есть чтобы закрыть дыру лично для себя — нужно прийти с паспортом в офис… Удобно.
dididididi сегодня в 10:05
–3
Действительно легко))) Только нужно получить доступ к телефону и паспортным данным))) Есть еще более простый способ, ловим пользователя, вставляем ему термокриптоанализатор -> «Парам! ВконтакТ взломан!»"

Ну а если серьезно, это не вопрос безопасности, а скорее вопрос юзабилити, можно устроить конечно так, чтоб взломать ее было невозможно, личное присутсвие пользователя, нотариальное заявление рассматриваемое в течение 30 дней и т.д., но пользователи тогда просто побегут из такой сетки, потому что достаточно один раз забыть пароль, чтоб лишиться аккаунта навсегда.

Тот баланс между юзабилити и взломостойкости, который выбрал ВК кажется ему оптимальным, вам не кажется и что?

ВК, отнюдь не сетка, которая позицинирует себя сверхнадежным хранилищем конфиденциальной информации и надо быть весьма странным, что хранить там что-то секретней меню на НГ.
- Silvarum сегодня в 11:56
  +1
  Только нужно получить доступ к телефону и паспортным данным
  Если у Вас есть телефон, то считайте паспортные данные уже всем известны. Потому как у всех операторов базы абонентов утекают с завидной регулярностью. Да что там, даже в банках утекают.
  А проблема безопасности тут в том, что один фактор аутентификации можно сменить с помощью другого. В результате получаем прямо противоположный результат — не дополнительный слой защиты, а ещё один вектор атаки.
  Правильными вариантами восстановления было бы использование резервных кодов или почты:
  1. Человек забыл пароль/потерял тел.номер. Нажимает кнопку восстановить.
  2. Человек вводит тел.номер/пароль (тот фактор, который не забыл) и резервный код, или получает код/ссылку на почту.
  3. Меняет забывший фактор.
  По сути имеем три фактора и для замены одного из них надо иметь доступ к двум другим.
  - tcapb1 сегодня в 12:03
    
    0
    Резервный код как правило ещё проще забыть, чем пароль. Если он с подсказкой (типа вопрос-ответ), то злоумышленник может его подобрать.
    - Silvarum сегодня в 12:28
      
      0
      
      Возможно, но тогда буратиной будет пользователь, а не сервис, отдавший аккаунт левому человеку.
      Секретные вопросы вообще бред и черезмерно подверженны соц.инженерии. К примеру, вопрос «Как зовут Вашего питомца?», и в профиле в фотках «смотрите какой у меня милый котик Борис». Согласитесь, на «секретный» вопрос ну никак не тянет. Если таки заставляют их назначать, то лучше писать в ответ рандомные последовательности.
      - tcapb1 сегодня в 14:35
        
        0
        
        Проблема в том, что надёжной системы аутентификации для массового пользователя (который может забыть пароль и потерять телефон) так и нет. Если делаем полноценную непробиваемую 2FA, то при утрате любого из факторов аккаунт становится потерянным. А даже симку порой не так просто восстановить. В Мегафоне мне говорили обратиться в тот регион, в котором я симку получал. Если позволяем восстановить одну часть 2FA по второй части — получаем истории как в этой статье.
        
        Например я, хоть наверное и более технически подкован, чем средний гражданин, всё равно время от времени и забываю пароли и теряю телефоны.
        
        Silvarum сегодня в 14:57
        
        +1
        
        Согласен, нет удобной и надежной системы. Но тут вопрос, что лучше — просто потерять доступ к аккаунту, или дать доступ злоумышленнику. Я бы лично предпочел первое и, возможно, пойти на некоторые неудобства при восстановлении.
        К тому же по той схеме выше можно восстановить доступ при потере одного из факторов (если не потеряли доступ ещё и к почте).
        
        gecube сегодня в 19:39
        
        0
        
        В Мегафоне мне говорили обратиться в тот регион, в котором я симку получал.
        
        это Вы сейчас серьезно? Я что-то не хочу проверять на своем опыте… т.к. именно так и живу (симка из одного региона, а фактически в другом, а ехать 700 км из-за идиотизма оператора не хочется).
        p.s. что-то мне подсказывает, что крепостное право в России все еще не отменили.
        
        tcapb1 сегодня в 20:10
        
        0
        
        Я только в одной точке пробовал, может в каком-нибудь центральном офисе и сделали бы. Но в Москве мне предложили или ехать в свой регион или делать новую симку на новый номер.
      - gecube сегодня в 19:38
        
        0
        
        К сожалению, в этом случае приходится писать эту рандомную последовательность в секретный оффлайн-блокнотик, который очень легко забыть в секретном сейфе у себя дома. А если не секретная рандомная последовательность, то какой же это секретный вопрос??? Я уж не говорю о том, что некоторые сервисы предлагают выбрать секретный вопрос из заранее определенногос списка (отлично, мы уменьшили энтропию до нескольких битов) и его ТОЖЕ нужно правильно выбрать. Мазохизм.
  - dididididi сегодня в 14:16
    
    0
    Взломостойкость должна соотвествовать конфиденциальности. У ВК есть сервис восстановления по телефону и паспортным данным. Автор добыл и то и другое и зашел в аккаунт.
    
    Если ты решил использовать ВК, как хранилище секретной информации прими меры к тому, что один из факторов доступа будет чуть более секретный. Например, зарегай его на телефон, который знаешь только ты, симку спрячь в сейф и доставай только, когда надо восстановить доступ.
    
    Делать многофакторную защиту на соцсетку глупо.
    - tcapb1 сегодня в 14:29
      
      0
      
      Только вот симка автоматически будет деактивирована по неактивности через 3 месяца, и номер перейдёт к другому абоненту. Не говоря уже про то, что номер придётся регистрировать не на себя. Если по номеру телефона можно узнать паспортные данные, вполне допускаю, что и по паспортным данным можно узнать все номера телефонов.
      
      По поводу секретности данных — думаю, на любого пользователя, который активно пользуется ВК на протяжении нескольких лет можно накопать много интересного. Да даже если не копать, можно заняться выпрашиванием денег от лица взломанного например. И не говорите, что на такое больше никто не ведётся.
    - Silvarum сегодня в 14:35
      
      0
      
      Взломостойкость должна соотвествовать хотя бы общепринятым нормам. Данный сервис восстановления им не соответствует. ВК, кстати, паспортные данные в данном случае не использует, только телефон. Это оператор облажался с переадресацией звонков, аутентифицируя пользователя только по паспортным данным.
      
      Например, зарегай его на телефон, который знаешь только ты, симку спрячь в сейф и доставай только, когда надо восстановить доступ.
      Как минимум этот номер будет знать ещё оператор с постоянно утекающими базами.
      
      Делать многофакторную защиту на соцсетку глупо.
      Да даже если и так, раз уж ВК решил её сделать, то пусть делает по всем правилам, а не только для того, чтобы собрать свою базу телефончиков.
      - dididididi сегодня в 16:58
        
        0
        
        Пардон. Вы правы, у ВК однофакторная защита, достаточно доступа к телефонным звонкам. Если отломать кнопку «позвони мне робот», чтоб этот метод перестал действовать, но в этом случае достаточно физического доступа к телефону.
        
        Что по мне, так это достаточная защита для соцсети по дефолту, чтоб хранить в тайне от врагов список любимой музыки. Для параноиков наверно надо сделать дополнительную многофакторную защиту.
Shabol сегодня в 10:37
0
А может кто-нибудь из активных пользователей даркнета подсказать — на почве такого повсеместного провала с сохранением данных граждан, на сколько вырос рынок поддельных пасспортов. Мне думается что в ближайшем будущем это может стать правилом хорошего тона иметь всегда при себе левый пасспорт. Если бы конечно это стоило в разумных приделах.
- radonit сегодня в 12:41
  +1
  Мне думается что в ближайшем будущем это может стать правилом хорошего тона иметь всегда при себе левый пасспорт.
  
  www.consultant.ru/document/cons_doc_LAW_10699/03a2cf8e995e5efb0295ae74cd9f4829139c8447
  Вот вам ответ, чем может закончиться такое правило хорошего тона.
- Drebin893 сегодня в 12:47
  +1
  Никогда не понимал, зачем они вообще нужны, недействительные паспорта. Подлинность паспортных данных проверяется элементарно.
  
  Хотя все же мне такое попадалось. Услуга пользуется популярностью у находящихся на территории России жителей так называемых «отдельных районов Луганской и Донецкой областей» Украины. Особенно среди отметившихся участием в вооруженных формированиях: в Украине они уже во всех черных списках, у себя с «регионе» могли попасть во внутренние криминальные разборки, а в России их статус — «нелегальный мигрант» (если поймают, то депортировать могут… отнюдь не в их регион, а в Украину, где ждет готовое уголовное дело за пособничество террористам).
  
  Но паспорт — лишь бумажка. Нужна запись о человеке во всех реестрах. Это уже полноценное гражданство. А гражданство РФ получить к счастью (или сожалению) — весьма нетривиальная задача. Услуги в этой области есть, но стоят очень дорого. И по отзывам: случаются проколы, когда паспорт выдается в официальном гос.органе РФ, но через некоторое время попадает в недействительные и во внутренние «черные списки», со всеми последующими проблемами для человека.
  
  На теме коррупции в области ФМС сидят весьма влиятельные люди. Рынок сильно закрытый, чтобы получить надежную услугу, серые форумы и даркнет не помогут. Нужны люди в кабинетах.
  - bydm сегодня в 14:53
    
    0
    Не туда.
a_stager сегодня в 10:37
0
Мне в МТС сменили симку вообще без просьбы предъявить паспорт. По факту я мог бы указать совершенно любой номер и получить любую симку.
Airgen сегодня в 10:37
0
Но ведь в данном случае двухфакторная аутентификация как раз спасает, поскольку если она включена, восстановить пароль можно только двумя способами: по электронной почте (если она привязана) или через поддержку если на странице есть настоящие фотографии. Способ с телефоном будет уже недоступен.
Sjam сегодня в 10:46
0
Это скорее не исключительная проблема вк, а всех сервисов с привязкой к телефону.
abar сегодня в 10:50
+4
Как жителю Европы мне кажется диким что ни у кого здесь нет никаких сомнений в том, что данные можно пробить и купить за сущие копейки и никто с этим ничего сделать не может.

Казалось бы — это же непаханное поле для разотников спецслужб — регистрируешь условного Макса Мустерманна в сети оператора, идешь по объявлениям даркнета с пробивкой данных, в случае успешного получения данных прессуешь оператора что бы тот выдал имя клерка, который запрашивал эти данные. Повторять до тех пор, пока на погонах не останется места под новые звезды.

Неужели до этого никто не додумался? Или им выгоднее покрывать мелких мошенников которые запрашивают по еврику за слив реальных персональных данных?
- iig сегодня в 11:38
  +2
  в случае успешного получения данных прессуешь оператора что бы тот выдал имя клерка, который запрашивал эти данные.
  
  А можно еще с мерной канистрой ездить по заправкам и всех, ВСЕХ паковать за недолив бензина.
  Если кроме шуток: почему-то я уверен, что существуют и offline копии этих баз данных. И к некоторым из них уже имеют доступ те, у кого звезды на погонах.
- Silvarum сегодня в 12:09
  +1
  <sarcasm_mode>А как тогда сами спецслужбы будут пробивать и находить людей, если закрыть дыры?</sarcasm_mode>
- psbspb сегодня в 12:09
  0
  Когда у жены на работе со счёта, буквально на глазах увели больше миллиона рублей, и после анализа всех действий была куча зацепок, в полиции сказали примерно следующее НУ, БЫВАЕТ.
  
  Проблема в том, что звёзд на погоны никто за это не даёт, работать сотрудник обязан по заявлению, заявление сотрудник органов брать не хочет, потому, что это нужно работать, да ещё и в 99% случаев полицейский вообще не понимает, что нужно делать, для него это тёмный лес, этим заниматься должен отдел К. А отделу К такие дела нафиг не нужны, зачем им ловить тех кто взламывает страницы в ВК или зарабатывает по 1000 р на сливе инфы?
  
  У них есть работа по интереснее, там где увели десятки миллионов, там где фирмы платят и так далее.
  
  Вот и получается, чтоб поймать мелкого жулика в Интернете, ты должен хоть что-то понимать, а как только ты хоть что-то понимаешь, то ловить мелких жуликов тебе не интересно и возится с ними не хочется.
  - abar сегодня в 14:27
    
    0
    Тогда понятно. Получается, что лучше бы просто не было никаких привязок к телефону-паспорту, а весь доступ давать только на паролях, чем такое.
    - Alexey2005 сегодня в 15:18
      
      0
      
      Так все эти привязки нужны же не для того, чтоб пользователю лучше было. А для того, чтобы скармливать эти данные маркетоидной своре, которая после их анализа сможет максимально эффективно придумывать очередные подлянки для тех же самых пользователей.
      - rogoz сегодня в 15:54
        
        0
        
        Ну да, одни злые маркетологи habr.com/post/428874
        
        sumanai сегодня в 20:45
        
        0
        
        Тенденция с требованием номера началась задолго до этих законов, и поразила мессенджеры, которые про Россию только слышали на уроках географии в 5 классе.
- A-a-G-and сегодня в 15:01
  –1
  Независимо от места проживания (Европа, Азия, обе Америки и т.д.) — везде люди. И природа людей в сущности одинакова. Если у нас так распространены темы подобного рода, то только потому, что продажа данных афишируется. Слишком, сказал бы, широко. В своё время так же было популярным «ломать» аккаунты и на Западе. Силовые структуры любой страны и сами грешат хранением и оборотом пользовательских данных, это оправдано поддержанием своего видения порядка. Везде на планете есть люди, которым платят мало или «платят мало», поэтому они сами с удовольствием зарабатывают на стороне, «tu mihi, ego tibi», как озвучил ещё Платон. Это во всём мире так, а не в конкретных местах. Просто в России наиболее развита свобода Интернет, которая поддерживается силами самих пользователей, поэтому так много излагается о нарушении конфиденциальности. Как следствие, озвучивая вас «ни у кого здесь нет никаких сомнений в том, что данные можно пробить и купить за сущие копейки и никто с этим ничего сделать не может», и не Назовём это гипертрофированной жаждой информационной справедливости, последнего, что ещё мы можем хоть как-то контролировать. В сущности какая разница кто будет ваши данные использовать, банки, рекламщики, страховщики или обычные дворовые жулики. Итог будет один: если будет причина, то их используют. Что до звёзд, то их можно получить и более простыми, не требующими особых усилий, способами.
  - Drebin893 сегодня в 15:11
    
    +1
    — В мире все одинаково. Россия никакое не исключение. Люди то везде одни.
    — Тут то еще что! Вон на Америку посмотрите.
    — В России наиболее развита свобода Интернета.
    
    Вам сразу две звезды за четкое следование методичке, уважаемый пользователь с двумя постами и регистрацией от 30 декабря 2018 года.
    - springimport сегодня в 18:17
      
      0
      
      Да прав он. Может не так нагло как в РФ, но все примерно то же самое. Попробуйте свой social security где-нибудь светануть, ага.
      Или вот, придите в спортивный зал и дадите им свою карту)) Но все будет хорошо, пока вы не решите уйти, вот тут то вы и поймете что такое платить годами за *** спортзал в который вы даже не ходите. И ничего сделать им не сможете. Наличные они не принимают, почему-то :)
    - A-a-G-and сегодня в 19:39
      
      0
      
      Здравствуйте! Тут, наверно, по неким законам полемики, я должен был бы с пеной у рта доказывать что-то. Но не вижу особого смысла. Только считаю нужным уточнить, то что вы не поняли.
      * Я сказал, что «И природа людей в сущности одинакова.», а не, цитирую вас: «В мире все одинаково.». Различие большое, согласитесь? Под природой людей стоит понимать заложенные Кантом понятия того, что из него делает природа (физиологическое) и того, что он делает из себя сам, как существо наделённое волей (прагматическое). Могу посоветовать на эту тему, если позволите, книгу Бертрана Рассела «История
      западной философии», там так же уделено этому немного внимания, но уже в лице Аристотеля. Книга в свободном доступе и на многих языках. У человека есть физиологические потребности независимо от расы и места жительства, а зачастую и его прагматические методы. Далее по комментарию, вы несколько сухо изложили мои слова, но пусть «Россия никакое не исключение. Люди то везде одни.». Да, Россия не исключение и люди те же, что в Германии или Ираке. А учитывая массовое использование СМИ, то и менталитет становится не особо отличим, опять же, для превалирующего количества людей.
      * «Тут то еще что! Вон на Америку посмотрите.», из какого пальца, извиняюсь, это высасали я не представляю. Об Америке я упоминул только: «Независимо от места проживания (Европа, Азия, обе Америки и т.д.) ...» — имелись ввиду континенты Северной и Южной Америк (на одной северной есть и Канада ещё), а не страны (вы,
      мне кажется, извиняюсь, если ошибся, имели ввиду США). Что касается вашей попытки отнести меня к Западникам или к, назовём их так, «Ура-патриотам», то огорчу. Я не в коей мере не являюсь приверженцем столь мелких идей, ещё помятуя борьбу славянофилов и западников, которая до сих пор продолжается. Тут я солидарен с мнением Соловьёва В.С. актуальнм, по моему, по сей день, что решения чечеловеческих
      вопросов ни на Западе, ни на Востоке, ещё не дано, а следовательно и искать их надо солидарно, независимо от стран света.
      * Что касательно последнего комментария, то я исхожу из философского смысла слова
      «свобода». Где субъект сам определяет причины своих действий, а не находится под давлением иных факторов, беря во внимание ответственность за действия и их пагубность для окружающих. В России меньший контроль за интернет пространством со стороны силовых структур, пока что. Вполне возможно, что со временем всё изменится. Так что, я отнюдь не указал это как плюс, наоборот даже… люди в попытках достичь свободы рождают вседозволенность, как следствие и мелких жуликов. Здесь, в России много того, что Фемида никогда не поймёт, плохого и хорошего. Везде есть и хорошее и плохое. Увы, но Утопию мы видим только на страницах романа Томаса Мора. Я живу в России и да, я буду говорить, что это моя страна и просто так, её опошлять не позволю. Но я реалист и вижу недостатки, что творятся вокруг, потому и не буду кричать «ура». Из дома не бегут, если в нём потекла крыша или тараканы, поэтому я жил и живу здесь, что опять же не показатель моего политического и какого-либо ещё взгляда. Я не Солженицын, чтобы бежать, это минимум трусость, на мой скромный взгляд. Не камень в ваш огород, только реальность… я лучше в худой, но родной стране буду делать хорошее, чем просто разглагольствовать о плохом положении вещей из-за границы. Моё мнение, не более.
      
      «Вам сразу две звезды за четкое следование методичке, уважаемый пользователь с двумя постами и регистрацией от 30 декабря 2018 года.»
      Честно, не знаю, что за методичка. И да, как вы заметили, увы, я имею крайне мало времени на комментирование или написание статей, предпочитаю больше читать, Alit lectio ingenium. Множество дел и обстоятельств. Чтобы писать что-то, нужно обладать особыми знаниями, подобно Крису Касперски в своё время, вы же, пытаясь меня уязвить, мне показалось так, прошу прощения, если заблуждаюсь, вынуждаете указать и на ваши недостатки статей, типичного описательного характера или повторения и так известных истин. Переписывание и так известного, это отнюдь не развитие. Habr же, с моей, в некотором роде романтической точки зрения, кладезь статей, где люди делятся измышлениями для достижения всеобщего прогресса. Извиняюсь, если мои слова задели, целью ставил разъяснение моего комментария, не более.
      - rogoz сегодня в 19:53
        
        +1
        
        я должен был бы с пеной у рта доказывать что-то. Но не вижу особого смысла.
        что-то слишком длинное сообщение для таких заявлений.
        
        A-a-G-and сегодня в 20:01
        
        0
        
        Согласен, увлёкся что-то…
        Хотел только разъяснить, но вышло объёмно.
DrNefario сегодня в 11:25
+1
Ну все, понеслось… В пабликах ВК вдруг опросы насчет используемого оператора понеслись :)
vk.com/wall-38959783_1045834
- fl1po сегодня в 14:58
  0
  А Йота, похоже, читает этот тред и теперь там отвечает в комментах.
annmuor сегодня в 12:44
–7
За ресерч — плюс в пост, за кликбейт — минус в карму.
egormerkushev сегодня в 12:48
0
Было бы неплохо хотя бы, чтобы операторы тотально логировали доступ к ПД и вставляли по первое число и увольняли тех, кто сливает их, при жалобе реального абонента на такие манипуляции с номером и симками…
- Drebin893 сегодня в 12:59
  +2
  Такое логирование ведется в банках. Не помогает.
redQueen_66 сегодня в 12:50
0
Я работаю в частной поликлинике, где около 2000 клиентов оставили паспортные данные и номер телефона, а еще «стандартный договор» о персональных данных, по которому поликлиника может передавать их любым 3-м лицам. И не надо ни какого даркнета.
kompas_3d сегодня в 13:38
0
Почему не показан оператор, который разрешил переадресацию?
- sumanai сегодня в 20:47
  0
  Потому что он находится методом исключения.
tcapb1 сегодня в 13:50
0
Для неверующих, что такое возможно. Вот история с ноября прошлого года, где аккаунт ВК был угнан по очень похожей методике: vc.ru/claim/51650-tehpodderzhka-kotoraya-vam-ne-pomozhet-kak-mts-otdal-moshennikam-moy-nomer-a-vkontakte-akkaunt. Только на этот раз был не Билайн, а МТС.

Насколько я понимаю, доступ к аккаунту человек так и не вернул.
suicidejoy сегодня в 13:53
0
php_freelancer, Привет

То что ты описал выше никак не доказывает что 2FA не спасает…
Даже если ты получишь доступ к номеру жертвы, к её паспортным данным, ты всё равно столкнёшься с 2FA, и дальше уже пройти не сможешь.
Так как окно рестора будет выглядеть совсем иначе…
Тебе для дальнейшего восстановления страницы придётся получить сформированную ссылку на почту ( по которой зарегистрирована страница ), по которой ты уже сможешь окончательно восстановить страницу.
И уже возникает вопрос где и как ты получишь доступ к почте жертвы?
- Drebin893 сегодня в 14:17
  +1
  ВК работает без привязки почтового ящика. Но без привязки телефона — нет.
  - dartraiden сегодня в 17:01
    
    0
    Если нет почты, то для сброса пароля (при включённой 2FA) нужно быть залогиненным на каком-то другом устройстве, куда в личку придёт код. Телефон уже не используется при сбросе.
    
    Включение 2FA убирает телефон из схемы сброса пароля.
    
    Таким образом, злоумышленник из статьи уже не смог бы войти или сбросить пароль. Для входа ему бы понадобился старый пароль (который он не знал) и код 2FA из SMS. А для сброса пароля ему бы понадобился доступ к почте, либо активная сессия. Ни того, ни другого у него не было.
Bedal сегодня в 16:13
0
судя по отсутствию в приведённых «хороших» сканах, «плохой» оператор — Билайн?
yasitnichenko сегодня в 17:15
0
Статья любопытная и в теории так сделать можно. Но на практике есть очень много но и переменных. Операторы в рф самостоятельно переадресацию не делают (да, даже виртуальные не делают), плюс только через номер восстановить пароль в ресторе нельзя (это же 2фа), нужен доступ и к почте.

Для взлома и входа злоумышленнику из статьи понадобился бы старый пароль (который он к моменту переадресации уже должен был знать) и код 2FA из SMS. А для сброса пароля ему бы понадобился доступ к почте, либо активная сессия.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Взлом вк, двухфакторная аутентификация не спасет

Читают сейчас

Похожие публикации

Навыки и требования к специалистам по информационной безопасности

Проблемно-игровой метод мотивации студента специальности «Информационная безопасность»

NIST SP 800: библиотека по информационной безопасности

Комментарии 255

Что обсуждают

Самое читаемое

Хабр рекомендует

Премия HighLoad++ 2018 — как это было

Тезисы докладов, инсайды и впечатления участников HighLoad++ 2018

Аккаунт

Разделы

Информация

Услуги

Приложения

Взлом вк, двухфакторная аутентификация не спасет

Читают сейчас

Похожие публикации

Навыки и требования к специалистам по информационной безопасности

Проблемно-игровой метод мотивации студента специальности «Информационная безопасность»

NIST SP 800: библиотека по информационной безопасности

Вакансии

Что обсуждают

Самое читаемое

Хабр рекомендует

Премия HighLoad++ 2018 — как это было

Тезисы докладов, инсайды и впечатления участников HighLoad++ 2018

Аккаунт

Разделы

Информация

Услуги

Приложения