Допустим, у некоторой организации появилась задача – зарегистрировать официальную группу или страницу вконтакте. Сразу возникает вопрос – с какого аккаунта это делать? А вдруг пользователи зайдут на страницу сотрудника, увидят там обнаженку, расчленёнку и вот это всё? Личная страница ведь не должна удовлетворять корпоративным стандартам. Возникает идея — зарегистрировать новый «рабочий» аккаунт.

Небольшой подвох


Новые аккаунты на vk.com должны быть привязаны к телефону. Личные телефоны сотрудников, как правило, уже используются для их личных страниц, да и не очень правильно для рабочего аккаунта использовать «нерабочие» сим карты. В этой ситуации логичным решением кажется сходить к метро и купить новую сим карту, чтобы привязать её к рабочему аккаунту.

В итоге покупается симка, регистрируется аккаунт с которого и создаётся сообщество. После этого начинается развитие, наполнение и продвижение представительства организации в соцсети.

Проходит несколько лет


Группа разрастается, новости пишутся, пользователи активно лайкают, комментируют и репостят. Есть даже целый штат модераторов и администраторов сообщества, чтобы поддерживать всех страждущих. Но во всех этой идиллии есть уязвимое звено – аккаунт создателя сообщества.


«Рабочая» сим карта благополучно провалялась в ящике стола пару лет, за ненадобностью. Деньги на ней были экспроприированы оператором с помощью автоматически подключаемых услуг. Номер был отключен за неактивность.

Рабочий аккаунт в соцсети всё это время был авторизован в рабочем браузере на рабочем компьютере. Но потом надобность в нём отпала, так как администрированием занялись другие сотрудники.

В чем же уязвимость?


Уязвимость кроется в сим карте. Операторы довольно быстро выводят обратно на рынок неактивные телефонные номера. И если этот номер попадёт к любопытному любителю социальных сетей, то есть ненулевая вероятность того, что он захочет восстановить аккаунт к которому был привязан этот номер ранее. И сама социальная сеть ему в этом поможет своими напоминаниями.

Тут нужно понимать, что аккаунт создателя группы даёт убервозможности для её администрирования. Модераторов группы могут разжаловать администраторы. Администраторов могут удалять другие администраторы, и всеми ими вместе взятыми может управлять создатель группы.

В один прекрасный момент наша замечательная корпоративная группа может превратиться в тыкву с рекламой какой-нибудь шляпы.

Что же делать?


У простых смертных, не имеющих доступа в дом Зингера, нет возможности изменять информацию о создателе групп. Поэтому нужно обращаться в техподдержку вконтакте.

Они предлагают пройти не самый простой квест по сочинению странного вида бумажек и подписыванию их у больших боссов.
image

Если удастся собрать это всё, то аккаунт будет успешно изменён. Таким образом, уязвимость будет устранена.

Итог


Предлагаю всем, кто мог оказаться в такой ситуации, проверить безопасность аккаунта создателя. Ведь никто не хочет потерять то, что нажито непосильным трудом =)

UPD.

поток «Разработка» не соответствует тематике заметки, но именно в нём находится хаб «Информационная безопасность»
Поделиться с друзьями
-->

Комментарии (62)


  1. ifaustrue
    04.07.2016 11:23
    +1

    … проверил все свои симки.


  1. NikMelnikov
    04.07.2016 11:29
    +4

    Кажется, нужен сервис, который бы поддерживал все симки в актуальном состоянии.


    1. Sp0tted_0wl
      04.07.2016 11:53
      +3

      Выглядит как идея для стартапа.


      1. stifff
        04.07.2016 17:04
        +1

        а у меня и железо есть под это дело. правда большая часть под полноразмерные симки.

        фигня в том, что рынок довольно узкий.
        а так да — практически готовый хотсинг симок со всяким там доступом


        1. T-362
          05.07.2016 15:22

          1 — а можно железку в студию? Или в личку.
          2 — реально ли ее пробросить в виртуалку для эмуляции андроида?


          1. stifff
            06.07.2016 12:26

            Железка представляет собой плод не влетевших проектов.

            Физически выглядит как пара 2U модулей по ~40 слотов под полноразмерные симки в каждом
            Логически это 4 модемных модуля к которым можно цеплять одну из ~20 симок, которые висят на них. На компьютере это четыре COM порта с которыми можно общаться стандартными AT командами модемного модуля плюс команды управления переключением

            чтобы пробросить для эмуляции, нужно, как я понимаю, пробрасывать физический уровень симки. Этого текущая версия не умеет, хотя в следующей я проектировал именно работу с физическим уровнем карты (и на тестовом стенде оно работало).
            Плюс нужно как-то завести эту физику в виртуалку — или модуль для виртуалки, или модуль ядра. Тут я не уверен


            1. T-362
              06.07.2016 15:55

              Ого! Очень жаль что не взлетело. Я бы купил, правда «потребительскую» версию на 1 сим (особенно если бы стоило не дороже 100-200 евро), что-бы можно было воткнуть в PCI-E и не париться с безумными SMS авторизациями или андроид-приложениями токенами, которые умудряются завесить весь телефон, или помереть сожрав все ресурсы и батарею.


              1. vorphalack
                07.07.2016 01:52

                если нужно просто модем завернуть в десктоп — то берется ноутбучный miniPCIe модуль и переходник для него, их спецом делают с антеннами и гнездом под сим.


              1. stifff
                07.07.2016 13:50

                Мне кажется, что PCI-E — это слишком хардкорно.
                Имхо, достаточно USB «донгла». Если же стоит задача пробросить физику в андроид эмулятор, то есть шанс, что можно обойтись обычным ридером смарт карт.


                1. vvzvlad
                  10.07.2016 17:11

                  А чем usb-модем плох?


                  1. stifff
                    11.07.2016 00:26

                    думаю тем, что не отдаёт физический уровень карты
                    а так да, если нужны просто смски, то модем — самое то


                    1. vvzvlad
                      11.07.2016 02:27

                      А зачем нужен физический уровень?


                      1. T-362
                        11.07.2016 14:55

                        USB плох тем что он USB — он просто не подходит для постоянного использования — не имеет нормальных выходов внутрь системника, торчит, путается, вываливается, умирает за компанию с остальными USB девайсами, греется — найти хороший USB девайс проблема из-за засилия китайщины в любой ценовой категории. Физический уровень нужен для проброса в виртуалку к андроиду, он, со всеми его проблемами, таки работает луче родного софта модема.


                        1. vvzvlad
                          11.07.2016 14:56

                          Физический уровень нужен для проброса в виртуалку к андроиду, он, со всеми его проблемами, таки работает луче родного софта модема.

                          Да, я вот про это спрашивал. А зачем родной софт? Я видел, как что-то опенсорсное работало, и даже голос умудрялись пускать.


        1. synedra
          06.07.2016 05:04

          А не распишете на хабре, как оно работает?


          1. stifff
            06.07.2016 12:28

            если вкратце, то вот

            в начале года я видел тут описание похожей разработки, где люди сделали сим банк с управлением на ПЛИС. У них всё намного круче было.


      1. XXXXPro
        05.07.2016 13:23

        Думаю, если такое появится, операторы быстро сообразят сделать услугу «SIM с гарантированным сроком жизни» по сходной цене (или даже дешевле), и стартап станет неактуальным.


        1. Red_Lemur
          06.07.2016 00:15
          +1

          … и тем не менее, если не гнаться за мечтой сделать проект «на века», можно за несколько лет неплохо подзаработать на описанном сервисе…


  1. aalebedev
    04.07.2016 11:30
    +2

    Включайте двухфакторку, тогда даже с потерей телефонного номера можно будет войти и тем более никто не превратит в рекламу казино или средств похудения.

    А вообще можно открыть со страницы ген директора или менеджера по связям с общественностью.
    Кстати, создателя можно скрыть и блока контактов и никто его не узнает.


    1. murzix
      04.07.2016 11:33
      +4

      Так проблема не в том что злоумышленники узнали и взломали аккаунт создателя. Проблема в том что кто-то случайно получил доступ через свежекупленный номер мобильного телефона.


  1. mittus
    04.07.2016 11:54
    +9

    При мне всегда использовали отдельную корпоративную сим-карту зарегистрированную на юридическое лицо. Использовалась такая сим-карта, находясь всегда во включенном устройстве, для регистрации множества аккаунтов связанных с деятельностью предприятия в интернете. Фирмы идущие в интернет используют далеко не только социальную сеть, и везде нужен мобильный номер телефона с подключением двухэтапной аутентификацией там, где это возможно.

    Так происходит, если говорить об организации работы предприятия, где являешься ответственным лицом. А если говорить о мелких компаниях, то там в основном аккаунты социальных сетей регистрируют директора сами на себя и передают доступ. Это тоже вполне устраивает. Но на моей памяти никогда ни у кого не возникало мысли купить симку у метро, чтобы зарегистрировать что-то на нее, а тем-более развивать это. Если такие случаи и возникнут, то я первым делом буду настоятельно рекомендовать оформлять договор с сотовым оператором на юридическое лицо и переводить туда номер, так как в корпоративном сегменте даже долго валяющиеся без дела номера никуда не деваются.


    1. murzix
      04.07.2016 12:10

      Иногда группа в соцсети появляется по инициативе самих сотрудников, просто чтобы было удобнее общаться с клиентами.


      1. mittus
        04.07.2016 12:23

        В таких случаях ошибки в любом случае неизбежны. Думаю, ваши инструкции по обращению в поддержку будут полезны этим людям, если они окажутся в подобной ситуации.


      1. kprohorow
        05.07.2016 10:32

        В этом случае действует принцип «инициатива наказуема».


    1. Pakos
      05.07.2016 09:23

      У многих мелких компаний (да и крупных тоже) директора всё ещё не так сильно дружат с техникой, чтобы регистрировать аккаунты и давать полномочия. Я бы больше поверил в «регистрирует секретарша aka офис-менеджер aka рекламщик aka ...). Компании же не только айтишными бывают и им тоже хочется быть „а чё у нас нет странички, чё мы как лохи“. Вот такие и симку у метро купят (потому как не видят разницы), и „развивать“ будут как-то, а что страницу угнали даже не сразу и заметят.
      Боюсь, правда, что такие не то что хабр не читают, а даже запрос для попадания на эту страницу в поиске яндекса сформулировать не смогут.


  1. p0z
    04.07.2016 12:22

    Вспоминается схема получения 'старого' номера привязанного к мобильному банку для дальнейшего вывода средств. Здесь, по сути, тоже самое, только поизводится угон аккаунта. Вывод один — не использовать сим-карты однодневки для чего-либо стоящего и всем будет хорошо.


    1. delimer
      04.07.2016 17:26

      Так основная проблема — это поддержка сим карты в актуальном состоянии. Можно и не однодневку купить, но после этого надо следить, чтобы там был положительный баланс, чтобы номер не блокировался если его не используют длительное время.


  1. AleksHyp
    04.07.2016 12:49
    -2

    Если пополнить номер, то отсчёт времени неактивности сбросится.
    В интернет-банке создаём периодический платёж на 10руб.
    Профит.
    Но надо уточнять у конкретного оператора, с Теле2 прокатывает


    1. SyavaSyava
      04.07.2016 14:07

      У большинства операторов тайм-аут простоя обнуляется только после выполнения платной услуги с этой симки – выход в интернет, исходящий звонок, платная СМС и т.п.
      Так что профит будет пожалуй только у tele2, на остальных нужно что-то ручками делать каждые пару месяцев. А это всё склонно забываться.


      1. Chamie
        05.07.2016 12:58

        Так можно и подписаться на какую-нибудь платную услугу за 10?/мес.


        1. ploop
          05.07.2016 19:44

          Это просто продлит таймаут пропорционально суммы на счёте. Помнить всё равно надо.


          1. VolCh
            06.07.2016 08:56

            И настроить автоматическое пополнение на эти 10?/мес.


  1. roman12rus
    04.07.2016 13:40
    -1

    Социальные сети — зло.


  1. VAshot
    04.07.2016 13:40
    +2

    К сожалению, ВК однажды лишил группы полноправного владельца вот через этот самый инструмент.

    Была общественная группа микрорайона, создателем в группе был указан один человек. В микрорайоне появилось ТОС (Территориальное общественное самоуправление). С одноименным названием микрорайону. Соответственно, оно юридическое лицо, имеется председатель и все дела. Председатель решил отжать группу. Вначале админам группы и создателю админы ВК писали вопросы, не хотим ли мы передать полномочия, а получив ответы «нет», они в итоге молча сменили создателя на председателя ТОС.

    Вот так. Очевидно, что название микрорайона не может эксклюзивно принадлежать юр.лицу. Группа назвалась «Официальная группа микрорайона такого-то». И никакого отношения ТОС не имело к ее созданию и раскрутке. Можно было в суд, но плюнули. Сейчас эта группа, ранее весьма живая, загнивает.


    1. Am0ralist
      04.07.2016 17:26

      «однажды»
      напомнить историю группы пользователей Dr-Web, которую создал пользователь Хабра?


      1. VAshot
        04.07.2016 18:24

        Было удивительно, что не решили тогда мирным путем. Но если dr.web — торговая марка и как-то что-то, то название микрорайона явно не торговая марка. Хоть оно и уникально на всю Россию.


  1. alekssamos
    04.07.2016 13:44

    А у меня кстати помню было подобное: я в 2011 году зарегался в ВК и ещё в нескольких сетях, в 2012 году поменял номер (поменял симку), но номер, привязанный к аккаунту я как-то оставил старый.
    И вот в один прекрасный момент, а именно в 2014 года я получаю уведомление о смене пароля и то, что он был восстановлен через СМС, а мой старый номер привязан к новой страници… Звоню на свой старый номер, ну так, ради интереса, а там отвечает какой-то злой мужик, который меня послал, после того, как я сказал, что в 2011 году этот номер принадлежал мне… Вот так… Ну и после этого я конечно же номер привязал свой новый и к другим аккаунтам тоже…


  1. nikitasius
    04.07.2016 13:53
    -6

    Операторы довольно быстро выводят обратно на рынок неактивные телефонные номера.

    блаблабла, среднее 6 месяцев неактивности и в архив… далее снова блаблабла… вывод на рынок сколько времени спустя.
    Ничего себе довольнобыстро!


    1. ploop
      04.07.2016 16:54

      Ничего себе довольнобыстро!
      Во времена активного набора абонентской базы период вывода был как раз установленные правилом 6 месяцев. На седьмой она уже работала у другого абонента.
      Сейчас, конечно, не те времена, но в течении года вполне уплывёт.


      1. nikitasius
        04.07.2016 17:45
        -3

        Еще забыли добавить: когда космические корабли бороздили просторы большого театра.

        Статья ниочем и проблема высосана из пальца. Достаточно 1 раз за полгода кинуть 10 рублей на баланс или отправить СМС и симка считается действующей.

        У меня такая симка с конца 2012 года работает. Лежит в телефоне, который использую для будильника (старый алькатель c яйцом «моторно-тракторной станции») и для приема редких СМС из России, мол «перезвони».

        Если мышкой не щелкать, то ничего не упустишь.


        1. ploop
          04.07.2016 17:50
          +1

          Достаточно 1 раз за полгода кинуть 10 рублей на баланс или отправить СМС и симка считается действующей.
          Кто бы спорил. Главная проблема — вспомнить про это.


          1. Red_Lemur
            06.07.2016 00:21

            С этой задачей автопополнение счета хорошо справляется. Симка привязывается к банковской карте и всего делов…


      1. vorphalack
        06.07.2016 03:21

        мегафон мск — вообще 3 месяца. возможно зависит от тарифа или еще чего-то, но я уже влетел один раз. потому что как всегда тарифы меняются задним… всем, и если ты раз в месяц хотя бы свой же тариф не перечитываешь, то горе тебе.


  1. T-362
    04.07.2016 14:12
    +2

    И вот опять. Надеюсь что дождусь того светлого будущего, когда разработчики (а точнее их «манагемент») прекратят считать решето мобильного телефона надежным методом для авторизации/регистрации/валидации и прекратят пихать его во все дыры.


    1. M-A-XG
      04.07.2016 14:27
      +2

      А что использовать?
      эмейлы тоже могут выводится из обращения :)

      По теме.
      Это не уязвимость ВК, это глупость создателей группы.


      1. T-362
        04.07.2016 15:03

        Вывод емейла из обращения я не встречал с махровых почтовых сервисов начала 2000ых. А так надо переходить к политике ССЗБ — регистрация это логин и пароль, «надежный аккаунт» — когда минимум два метода проверки из имеющихся на выбор — а уже тут должны быть телефон, емеилы (1 и более), мобильное приложение, токен, карточка с паролями, нотариально заверенная фотография пупка итд. Ключевая фраза — «из имеющихся на выбор».


        1. Pakos
          05.07.2016 09:41

          mail.ru, забыли пароль, секретный вопрос либо не ставили либо забыли, администрация «не можем вам помочь» через меньше месяца неактивности после нескольких лет использования, хотя ответы по местам захода (и некоторые ip), по времени, по адресатам переписки, по темам нескольких писем давались. Было несколько лет назад. Другой ящик был неактивен год (уже мой) и даже не пытался восстанавливать — там был не пароль забыт, а ящик удалён тем же мейлом. Это уже и не помню когда было — лет 12-15 назад. Так что вполне, слава mail.ru, выводились. С тех пор, правда, могло стать и лучше, диски подешевели, базы улучшились — нет нужды чистить старьё, но что стало лучше с восстановлением — сомневаюсь.


      1. snuk182
        04.07.2016 19:10

        Имхо, тут надо быть гибче, предлагая на выбор способ основного логина, который закрепляется в настройках учетной записи. Кому телефон, кому имя/пароль, кому хардварный токен, да хоть опенайди с оаусом. Плюс слепить из них очередность аутентификаций, чтоб совсем наверняка, и можно не ограничиваться двумя. Конкретно в этом случае это, разумеется, малоосуществимо, но помимо вконтактика есть масса сервисов, которые зависят только от номера мобильного, что неистово выбешивает.


  1. Darth_Malok
    04.07.2016 15:00

    В VK же есть возможность скрыть контакт создателя и общаться с пользователями от имени сообщества. Регистрируем паблик через свой аккаунт с «обнажёнкой, расчленёнкой и вот этим всем», скрываем его из контактов и спокойно администрируем сообщество — никто на нас уже не выйдет.


    1. VolCh
      04.07.2016 15:05

      Даже администраторы сообщества?


      1. VJean
        05.07.2016 10:32

        да


  1. ck3w
    04.07.2016 16:13
    +2

    Недавно в Рижской маршрутке нашел симкарту, попробовал восстановить страницу (какая-то была привязана) и столкнулся с трудностью ввести фамилию от восстанавливаемой страницы, естественно она неизвестна.
    Статья, на мой взгляд немного запоздала.


    1. stdenis
      04.07.2016 22:02

      Именно. Одно время, при вводе номера, вк без лишних вопросов отправлял смс на восстановление, а в мобильной версии еще и любезно показывал имя, фамилию и аватарку пользователя. Кстати была статья на хабре (https://habrahabr.ru/post/209178/). Теперь же, для восстановления пароля, в обоих случаях необходимо ввести фамилию. При этом можно зарегистрировать аккаунт на уже используемый номер, причем владельцу старого аккаунта выкинет алерт о перерегистрации номера и не даст пользоваться, пока тот не подтвердит новый номер.


    1. XXXXPro
      05.07.2016 13:16

      Фамилию тоже можно восстановить: по SIMке легко узнать оператора, далее идем на его сайт, восстанавливаем доступ к личному кабинету (при наличии SIM это не сложно), заходим туда и узнаем фамилию.


      1. ploop
        05.07.2016 19:49

        Это у какого оператора так? Билайн — точно нет. Даже в онлайн-сервисах банков можно узнать только имя-отчество, но не фамилию.


        1. XXXXPro
          05.07.2016 23:47

          На Мегафоне и МТС, специально только что проверил.


      1. stdenis
        09.07.2016 19:46

        Ну в статье идет речь о просроченных симках, т.е. ею никто не пользовался и оператор отдал номер другому человеку, в этом случае в личном кабинете будет ФИО уже нового владельца, поэтому получить доступ к группе вк не получится.

        Но даже если каким-то образом симка будет потеряна, то не факт, что ФИО у оператора будет совпадать с ФИО в вк. Если она покупается именно, чтобы создать группу компании в вк, то пользователь скорее всего будет вася пупкин, а не тот кто купил эту симку.

        А если потеряна нормальная симка (а не какая-то левая, купленная чисто для регистрации фейка в вк), то угнанная страничка, далеко не самое плохое, что может произойти. Кроме вк к телефону могут быть привязаны онлайн-банки и т.д.


    1. Anselm_nn
      06.07.2016 16:49

      а если добавить номер в контакты и поставить приложение?


  1. snuk182
    04.07.2016 17:03
    +4

    А все потому что кто-то в эру смартфонов придумал, что основной способ логина должен быть через мобильный номер. Поубивал бы.


  1. ilyaplot
    04.07.2016 17:07
    +2

    Разве корпоративные номера отдают в повторное использование, если номер закреплен за юр. лицом? Мне кажется, что нет.


    1. Kress
      05.07.2016 08:47

      Здесь, похоже, речь о случаях, когда малая организация не имеет корпоративных номеров, поэтому аккаунт ВК регистрируется на обычную, купленную в салоне, сим-карту.


    1. vorphalack
      06.07.2016 03:35
      +1

      при этом корпы редко, но иногда всё же меняют операторов, а значит что их старые номера так или иначе пойдут в оборот.