Небольшой подвох
Новые аккаунты на vk.com должны быть привязаны к телефону. Личные телефоны сотрудников, как правило, уже используются для их личных страниц, да и не очень правильно для рабочего аккаунта использовать «нерабочие» сим карты. В этой ситуации логичным решением кажется сходить к метро и купить новую сим карту, чтобы привязать её к рабочему аккаунту.
В итоге покупается симка, регистрируется аккаунт с которого и создаётся сообщество. После этого начинается развитие, наполнение и продвижение представительства организации в соцсети.
Проходит несколько лет
Группа разрастается, новости пишутся, пользователи активно лайкают, комментируют и репостят. Есть даже целый штат модераторов и администраторов сообщества, чтобы поддерживать всех страждущих. Но во всех этой идиллии есть уязвимое звено – аккаунт создателя сообщества.
«Рабочая» сим карта благополучно провалялась в ящике стола пару лет, за ненадобностью. Деньги на ней были экспроприированы оператором с помощью автоматически подключаемых услуг. Номер был отключен за неактивность.
Рабочий аккаунт в соцсети всё это время был авторизован в рабочем браузере на рабочем компьютере. Но потом надобность в нём отпала, так как администрированием занялись другие сотрудники.
В чем же уязвимость?
Уязвимость кроется в сим карте. Операторы довольно быстро выводят обратно на рынок неактивные телефонные номера. И если этот номер попадёт к любопытному любителю социальных сетей, то есть ненулевая вероятность того, что он захочет восстановить аккаунт к которому был привязан этот номер ранее. И сама социальная сеть ему в этом поможет своими напоминаниями.
Тут нужно понимать, что аккаунт создателя группы даёт убервозможности для её администрирования. Модераторов группы могут разжаловать администраторы. Администраторов могут удалять другие администраторы, и всеми ими вместе взятыми может управлять создатель группы.
В один прекрасный момент наша замечательная корпоративная группа может превратиться в тыкву с рекламой какой-нибудь шляпы.
Что же делать?
У простых смертных, не имеющих доступа в дом Зингера, нет возможности изменять информацию о создателе групп. Поэтому нужно обращаться в техподдержку вконтакте.
Они предлагают пройти не самый простой квест по сочинению странного вида бумажек и подписыванию их у больших боссов.
Если удастся собрать это всё, то аккаунт будет успешно изменён. Таким образом, уязвимость будет устранена.
Итог
Предлагаю всем, кто мог оказаться в такой ситуации, проверить безопасность аккаунта создателя. Ведь никто не хочет потерять то, что нажито непосильным трудом =)
UPD.
поток «Разработка» не соответствует тематике заметки, но именно в нём находится хаб «Информационная безопасность»Комментарии (62)
NikMelnikov
04.07.2016 11:29+4Кажется, нужен сервис, который бы поддерживал все симки в актуальном состоянии.
Sp0tted_0wl
04.07.2016 11:53+3Выглядит как идея для стартапа.
stifff
04.07.2016 17:04+1а у меня и железо есть под это дело. правда большая часть под полноразмерные симки.
фигня в том, что рынок довольно узкий.
а так да — практически готовый хотсинг симок со всяким там доступомT-362
05.07.2016 15:221 — а можно железку в студию? Или в личку.
2 — реально ли ее пробросить в виртуалку для эмуляции андроида?stifff
06.07.2016 12:26Железка представляет собой плод не влетевших проектов.
Физически выглядит как пара 2U модулей по ~40 слотов под полноразмерные симки в каждом
Логически это 4 модемных модуля к которым можно цеплять одну из ~20 симок, которые висят на них. На компьютере это четыре COM порта с которыми можно общаться стандартными AT командами модемного модуля плюс команды управления переключением
чтобы пробросить для эмуляции, нужно, как я понимаю, пробрасывать физический уровень симки. Этого текущая версия не умеет, хотя в следующей я проектировал именно работу с физическим уровнем карты (и на тестовом стенде оно работало).
Плюс нужно как-то завести эту физику в виртуалку — или модуль для виртуалки, или модуль ядра. Тут я не уверенT-362
06.07.2016 15:55Ого! Очень жаль что не взлетело. Я бы купил, правда «потребительскую» версию на 1 сим (особенно если бы стоило не дороже 100-200 евро), что-бы можно было воткнуть в PCI-E и не париться с безумными SMS авторизациями или андроид-приложениями токенами, которые умудряются завесить весь телефон, или помереть сожрав все ресурсы и батарею.
vorphalack
07.07.2016 01:52если нужно просто модем завернуть в десктоп — то берется ноутбучный miniPCIe модуль и переходник для него, их спецом делают с антеннами и гнездом под сим.
stifff
07.07.2016 13:50Мне кажется, что PCI-E — это слишком хардкорно.
Имхо, достаточно USB «донгла». Если же стоит задача пробросить физику в андроид эмулятор, то есть шанс, что можно обойтись обычным ридером смарт карт.
vvzvlad
10.07.2016 17:11А чем usb-модем плох?
stifff
11.07.2016 00:26думаю тем, что не отдаёт физический уровень карты
а так да, если нужны просто смски, то модем — самое тоvvzvlad
11.07.2016 02:27А зачем нужен физический уровень?
T-362
11.07.2016 14:55USB плох тем что он USB — он просто не подходит для постоянного использования — не имеет нормальных выходов внутрь системника, торчит, путается, вываливается, умирает за компанию с остальными USB девайсами, греется — найти хороший USB девайс проблема из-за засилия китайщины в любой ценовой категории. Физический уровень нужен для проброса в виртуалку к андроиду, он, со всеми его проблемами, таки работает луче родного софта модема.
vvzvlad
11.07.2016 14:56Физический уровень нужен для проброса в виртуалку к андроиду, он, со всеми его проблемами, таки работает луче родного софта модема.
Да, я вот про это спрашивал. А зачем родной софт? Я видел, как что-то опенсорсное работало, и даже голос умудрялись пускать.
XXXXPro
05.07.2016 13:23Думаю, если такое появится, операторы быстро сообразят сделать услугу «SIM с гарантированным сроком жизни» по сходной цене (или даже дешевле), и стартап станет неактуальным.
Red_Lemur
06.07.2016 00:15+1… и тем не менее, если не гнаться за мечтой сделать проект «на века», можно за несколько лет неплохо подзаработать на описанном сервисе…
aalebedev
04.07.2016 11:30+2Включайте двухфакторку, тогда даже с потерей телефонного номера можно будет войти и тем более никто не превратит в рекламу казино или средств похудения.
А вообще можно открыть со страницы ген директора или менеджера по связям с общественностью.
Кстати, создателя можно скрыть и блока контактов и никто его не узнает.
murzix
04.07.2016 11:33+4Так проблема не в том что злоумышленники узнали и взломали аккаунт создателя. Проблема в том что кто-то случайно получил доступ через свежекупленный номер мобильного телефона.
mittus
04.07.2016 11:54+9При мне всегда использовали отдельную корпоративную сим-карту зарегистрированную на юридическое лицо. Использовалась такая сим-карта, находясь всегда во включенном устройстве, для регистрации множества аккаунтов связанных с деятельностью предприятия в интернете. Фирмы идущие в интернет используют далеко не только социальную сеть, и везде нужен мобильный номер телефона с подключением двухэтапной аутентификацией там, где это возможно.
Так происходит, если говорить об организации работы предприятия, где являешься ответственным лицом. А если говорить о мелких компаниях, то там в основном аккаунты социальных сетей регистрируют директора сами на себя и передают доступ. Это тоже вполне устраивает. Но на моей памяти никогда ни у кого не возникало мысли купить симку у метро, чтобы зарегистрировать что-то на нее, а тем-более развивать это. Если такие случаи и возникнут, то я первым делом буду настоятельно рекомендовать оформлять договор с сотовым оператором на юридическое лицо и переводить туда номер, так как в корпоративном сегменте даже долго валяющиеся без дела номера никуда не деваются.murzix
04.07.2016 12:10Иногда группа в соцсети появляется по инициативе самих сотрудников, просто чтобы было удобнее общаться с клиентами.
mittus
04.07.2016 12:23В таких случаях ошибки в любом случае неизбежны. Думаю, ваши инструкции по обращению в поддержку будут полезны этим людям, если они окажутся в подобной ситуации.
Pakos
05.07.2016 09:23У многих мелких компаний (да и крупных тоже) директора всё ещё не так сильно дружат с техникой, чтобы регистрировать аккаунты и давать полномочия. Я бы больше поверил в «регистрирует секретарша aka офис-менеджер aka рекламщик aka ...). Компании же не только айтишными бывают и им тоже хочется быть „а чё у нас нет странички, чё мы как лохи“. Вот такие и симку у метро купят (потому как не видят разницы), и „развивать“ будут как-то, а что страницу угнали даже не сразу и заметят.
Боюсь, правда, что такие не то что хабр не читают, а даже запрос для попадания на эту страницу в поиске яндекса сформулировать не смогут.
p0z
04.07.2016 12:22Вспоминается схема получения 'старого' номера привязанного к мобильному банку для дальнейшего вывода средств. Здесь, по сути, тоже самое, только поизводится угон аккаунта. Вывод один — не использовать сим-карты однодневки для чего-либо стоящего и всем будет хорошо.
delimer
04.07.2016 17:26Так основная проблема — это поддержка сим карты в актуальном состоянии. Можно и не однодневку купить, но после этого надо следить, чтобы там был положительный баланс, чтобы номер не блокировался если его не используют длительное время.
AleksHyp
04.07.2016 12:49-2Если пополнить номер, то отсчёт времени неактивности сбросится.
В интернет-банке создаём периодический платёж на 10руб.
Профит.
Но надо уточнять у конкретного оператора, с Теле2 прокатываетSyavaSyava
04.07.2016 14:07У большинства операторов тайм-аут простоя обнуляется только после выполнения платной услуги с этой симки – выход в интернет, исходящий звонок, платная СМС и т.п.
Так что профит будет пожалуй только у tele2, на остальных нужно что-то ручками делать каждые пару месяцев. А это всё склонно забываться.
VAshot
04.07.2016 13:40+2К сожалению, ВК однажды лишил группы полноправного владельца вот через этот самый инструмент.
Была общественная группа микрорайона, создателем в группе был указан один человек. В микрорайоне появилось ТОС (Территориальное общественное самоуправление). С одноименным названием микрорайону. Соответственно, оно юридическое лицо, имеется председатель и все дела. Председатель решил отжать группу. Вначале админам группы и создателю админы ВК писали вопросы, не хотим ли мы передать полномочия, а получив ответы «нет», они в итоге молча сменили создателя на председателя ТОС.
Вот так. Очевидно, что название микрорайона не может эксклюзивно принадлежать юр.лицу. Группа назвалась «Официальная группа микрорайона такого-то». И никакого отношения ТОС не имело к ее созданию и раскрутке. Можно было в суд, но плюнули. Сейчас эта группа, ранее весьма живая, загнивает.
Am0ralist
04.07.2016 17:26«однажды»
напомнить историю группы пользователей Dr-Web, которую создал пользователь Хабра?VAshot
04.07.2016 18:24Было удивительно, что не решили тогда мирным путем. Но если dr.web — торговая марка и как-то что-то, то название микрорайона явно не торговая марка. Хоть оно и уникально на всю Россию.
alekssamos
04.07.2016 13:44А у меня кстати помню было подобное: я в 2011 году зарегался в ВК и ещё в нескольких сетях, в 2012 году поменял номер (поменял симку), но номер, привязанный к аккаунту я как-то оставил старый.
И вот в один прекрасный момент, а именно в 2014 года я получаю уведомление о смене пароля и то, что он был восстановлен через СМС, а мой старый номер привязан к новой страници… Звоню на свой старый номер, ну так, ради интереса, а там отвечает какой-то злой мужик, который меня послал, после того, как я сказал, что в 2011 году этот номер принадлежал мне… Вот так… Ну и после этого я конечно же номер привязал свой новый и к другим аккаунтам тоже…
nikitasius
04.07.2016 13:53-6Операторы довольно быстро выводят обратно на рынок неактивные телефонные номера.
блаблабла, среднее 6 месяцев неактивности и в архив… далее снова блаблабла… вывод на рынок сколько времени спустя.
Ничего себе довольнобыстро!
ploop
04.07.2016 16:54Ничего себе довольнобыстро!
Во времена активного набора абонентской базы период вывода был как раз установленные правилом 6 месяцев. На седьмой она уже работала у другого абонента.
Сейчас, конечно, не те времена, но в течении года вполне уплывёт.nikitasius
04.07.2016 17:45-3Еще забыли добавить: когда космические корабли бороздили просторы большого театра.
Статья ниочем и проблема высосана из пальца. Достаточно 1 раз за полгода кинуть 10 рублей на баланс или отправить СМС и симка считается действующей.
У меня такая симка с конца 2012 года работает. Лежит в телефоне, который использую для будильника (старый алькатель c яйцом «моторно-тракторной станции») и для приема редких СМС из России, мол «перезвони».
Если мышкой не щелкать, то ничего не упустишь.ploop
04.07.2016 17:50+1Достаточно 1 раз за полгода кинуть 10 рублей на баланс или отправить СМС и симка считается действующей.
Кто бы спорил. Главная проблема — вспомнить про это.Red_Lemur
06.07.2016 00:21С этой задачей автопополнение счета хорошо справляется. Симка привязывается к банковской карте и всего делов…
vorphalack
06.07.2016 03:21мегафон мск — вообще 3 месяца. возможно зависит от тарифа или еще чего-то, но я уже влетел один раз. потому что как всегда тарифы меняются задним… всем, и если ты раз в месяц хотя бы свой же тариф не перечитываешь, то горе тебе.
T-362
04.07.2016 14:12+2И вот опять. Надеюсь что дождусь того светлого будущего, когда разработчики (а точнее их «манагемент») прекратят считать решето мобильного телефона надежным методом для авторизации/регистрации/валидации и прекратят пихать его во все дыры.
M-A-XG
04.07.2016 14:27+2А что использовать?
эмейлы тоже могут выводится из обращения :)
По теме.
Это не уязвимость ВК, это глупость создателей группы.T-362
04.07.2016 15:03Вывод емейла из обращения я не встречал с махровых почтовых сервисов начала 2000ых. А так надо переходить к политике ССЗБ — регистрация это логин и пароль, «надежный аккаунт» — когда минимум два метода проверки из имеющихся на выбор — а уже тут должны быть телефон, емеилы (1 и более), мобильное приложение, токен, карточка с паролями, нотариально заверенная фотография пупка итд. Ключевая фраза — «из имеющихся на выбор».
Pakos
05.07.2016 09:41mail.ru, забыли пароль, секретный вопрос либо не ставили либо забыли, администрация «не можем вам помочь» через меньше месяца неактивности после нескольких лет использования, хотя ответы по местам захода (и некоторые ip), по времени, по адресатам переписки, по темам нескольких писем давались. Было несколько лет назад. Другой ящик был неактивен год (уже мой) и даже не пытался восстанавливать — там был не пароль забыт, а ящик удалён тем же мейлом. Это уже и не помню когда было — лет 12-15 назад. Так что вполне, слава mail.ru, выводились. С тех пор, правда, могло стать и лучше, диски подешевели, базы улучшились — нет нужды чистить старьё, но что стало лучше с восстановлением — сомневаюсь.
snuk182
04.07.2016 19:10Имхо, тут надо быть гибче, предлагая на выбор способ основного логина, который закрепляется в настройках учетной записи. Кому телефон, кому имя/пароль, кому хардварный токен, да хоть опенайди с оаусом. Плюс слепить из них очередность аутентификаций, чтоб совсем наверняка, и можно не ограничиваться двумя. Конкретно в этом случае это, разумеется, малоосуществимо, но помимо вконтактика есть масса сервисов, которые зависят только от номера мобильного, что неистово выбешивает.
Darth_Malok
04.07.2016 15:00В VK же есть возможность скрыть контакт создателя и общаться с пользователями от имени сообщества. Регистрируем паблик через свой аккаунт с «обнажёнкой, расчленёнкой и вот этим всем», скрываем его из контактов и спокойно администрируем сообщество — никто на нас уже не выйдет.
ck3w
04.07.2016 16:13+2Недавно в Рижской маршрутке нашел симкарту, попробовал восстановить страницу (какая-то была привязана) и столкнулся с трудностью ввести фамилию от восстанавливаемой страницы, естественно она неизвестна.
Статья, на мой взгляд немного запоздала.stdenis
04.07.2016 22:02Именно. Одно время, при вводе номера, вк без лишних вопросов отправлял смс на восстановление, а в мобильной версии еще и любезно показывал имя, фамилию и аватарку пользователя. Кстати была статья на хабре (https://habrahabr.ru/post/209178/). Теперь же, для восстановления пароля, в обоих случаях необходимо ввести фамилию. При этом можно зарегистрировать аккаунт на уже используемый номер, причем владельцу старого аккаунта выкинет алерт о перерегистрации номера и не даст пользоваться, пока тот не подтвердит новый номер.
XXXXPro
05.07.2016 13:16Фамилию тоже можно восстановить: по SIMке легко узнать оператора, далее идем на его сайт, восстанавливаем доступ к личному кабинету (при наличии SIM это не сложно), заходим туда и узнаем фамилию.
stdenis
09.07.2016 19:46Ну в статье идет речь о просроченных симках, т.е. ею никто не пользовался и оператор отдал номер другому человеку, в этом случае в личном кабинете будет ФИО уже нового владельца, поэтому получить доступ к группе вк не получится.
Но даже если каким-то образом симка будет потеряна, то не факт, что ФИО у оператора будет совпадать с ФИО в вк. Если она покупается именно, чтобы создать группу компании в вк, то пользователь скорее всего будет вася пупкин, а не тот кто купил эту симку.
А если потеряна нормальная симка (а не какая-то левая, купленная чисто для регистрации фейка в вк), то угнанная страничка, далеко не самое плохое, что может произойти. Кроме вк к телефону могут быть привязаны онлайн-банки и т.д.
snuk182
04.07.2016 17:03+4А все потому что кто-то в эру смартфонов придумал, что основной способ логина должен быть через мобильный номер. Поубивал бы.
ilyaplot
04.07.2016 17:07+2Разве корпоративные номера отдают в повторное использование, если номер закреплен за юр. лицом? Мне кажется, что нет.
Kress
05.07.2016 08:47Здесь, похоже, речь о случаях, когда малая организация не имеет корпоративных номеров, поэтому аккаунт ВК регистрируется на обычную, купленную в салоне, сим-карту.
vorphalack
06.07.2016 03:35+1при этом корпы редко, но иногда всё же меняют операторов, а значит что их старые номера так или иначе пойдут в оборот.
ifaustrue
… проверил все свои симки.