Кожен з нас хоча б раз у житті стикався з ситуацією, коли пароль від пошти забутий, а подивитися листи потрібно. Тут нам на допомогу приходить процедура відновлення пароля, яку дбайливі сервіси розробили спеціально для подібних випадків.

Саме ця процедура викликає найбільше питань з точки зору безпеки. Як зясувалося, не дарма.Наш дослідницький центр Positive Research подивився, наскільки легко можна отримати несанкціонований доступ до акаунтів користувачів «ВКонтакте», Facebook, Google, Mail.Ru і Яндекс. Причому не шляхом технічних атак, а тільки за допомогою соціальної інженерії.
Вікіпедія описує соціальну інженерію як метод управління людьми без використання технічних засобів. У нашому випадку це спосіб отримання несанкціонованого доступу до особистої інформації людини, знову ж таки, без використання яких-небудь спеціальних знань чи інструментів.
Безумовно, завжди можна відправити фішінговий лист і змусити користувача перейти на сайт, де він засвітить свої логін і пароль, або підкинути трояна і чекати. Способів існує багато. Але нам було цікаво інше. Ми хотіли перевірити, наскільки реально отримати доступ до облікового запису користувача, використовуючи тільки загальнодоступну інформацію, яку можна знайти в інтернеті. Без взаємодії з користувачем. Без технічних вишукувань. Без загроз «нульового дня».

Назад у майбутнє. «Вконтакте», Google, Mail.Ru
Нам вдалося отримати доступ до акаунтів усіх цих сервісів.
У випадку з «Вконтакте» і Google зясувалося, що, володіючи певною інформацією про користувача (контакти, фотографія, секретне питання), можна без зусиль отримати доступ до його облікового запису.

«Вконтакте» приділяють досить велику увагу забезпеченню безпеки користувачів і придумали свій метод відновлення пароля. Вам навіть запропонують сфотографуватися на тлі сторінки процедури відновлення пароля з попередньою завантаженням скана документа, що посвідчує особу. Все б нічого, але «Вконтакте» використовують найслабша ланка для перевірки людини. За що і поплатилися в результаті ряду маніпуляцій з формою відновлення пароля та контактними даними і листування зі службою підтримки доступ до сторінки користувача було отримано менше ніж за добу.

Google приблизно та ж ситуація.

Пароль відновили досить легко. Причому після отримання доступу до аккаунту Gmail.com у нашому розпорядженні виявляються всі сервіси, з якими працює користувач від Youtube до Picasa. Наприклад, процедура відновлення пароля була запущена в той момент, коли власник облікового запису продовжував працювати з сервісами Google: спілкувався через GoogleTalk, завантажував файли з Android Market. Сервіси перестали працювати раптово, без будь-яких попереджень з боку Google. Причому подібну атаку не змогла зупинити навіть двофакторна аутентифікація з привязкою до мобільного телефону.

З Mail.Ru ситуація складніше. Цей сервіс також доброзичливо ставиться до своїх користувачам і йде назустріч їм у багатьох питаннях. З одного боку, це не може не радувати, з іншого надає відмінні можливості хакерам.

Тут загальнодоступної інформації виявилося недостатньо. Тим не менш, після віртуального спілкування безпосередньо з жертвою, яка любязно надала нам всі потрібні дані, доступ до аккаунту був отриманий без особливих проблем.



Вперед у майбутнє.

Соціальна мережа Facebook продемонструвала найбільш зважений підхід, який поєднує турботу про зручність і безпеки користувача. Схема захисту не зовсім стандартна привязка до e-mail, привязка до телефону і можливість користуватися друзями для відновлення доступу до сторінки. Причому друзями повинні бути люди, яких ви знаєте не 1 і не 2 дні ми не змогли потрапити в список довірених осіб користувача навіть за два тижні активності. У тому ж випадку, якщо у вас більше немає доступу до пошти й секретного питання, Facebook повідомляє, що нічого вдіяти не може. І радить зареєструватися заново.

Окремо хотілося б виділити Яндекс. Це чудовий приклад того, як не варто закручувати гайки. Нам не вдалося отримати доступ до акаунту користувача через надто суворих вимог до процедури відновлення пароля. Наприклад, забрали у вас поштову скриньку з Яндекс.Грошима. Телефон ви не привязали. Секретний пароль не згадали. Служба підтримки вимагає паспорт. Все пропало. І Яндекс.Гроші, і Яндекс.Пошта.

Отже, які можна зробити висновки:

  • функція відновлення пароля слабке місце в системі захисту користувача масових онлайн-сервісів

    Свежие записи: