Предупреждение. Все материалы и методы, изложенные ниже, представлены исключительно в ознакомительных и экспериментаторских целях. Напоминаем, что взлом персональных страниц пользователей и сбор данных незаконным путём преследуется законодательством РФ (в частности УК РФ). Будьте осторожны и экспериментируйте только со своими или тестовыми аккаунтами!
Приступим сразу к делу.
Если вы когда-нибудь оставляли свои паспортные данные в каких-нибудь крупных салонах сотовой связи и ваш мобильный оператор не очень добросовестный, то вы подвержены данному способу взлома. Скажем так, большинство сотрудников данных сетей не сильно беспокоятся о конфеденциальности данных покупателей и очень здорово торгуют этой информацией в даркнете. (Да что уж там, получить список транзакций по карте стоит всего лишь 2000 рублей...). Вобщем, это оказалось очень просто — найти человека, который пробьет вам паспортные данные по номеру телефона пользователя. В моем случае в базе данных крупного салона связи оказались как мои данные, так и данные моей мамы и даже бабушки. Стоимость получения данной информации как раз укладывается в ценник ~500-1000 рублей. Возможно это выглядит достаточно муторно и проблемно, но по факту это занимает не более получаса и вряд ли вас кто-то будет после искать и найдет. Способы оплаты везде разные, кто-то принимает только биткоины, кто-то не стесняется указать свою карту в телеграме. К слову сказать, достаточно часто встречающееся явление, когда злоумышленник не боится указывать номер своей (или не своей?) карты, ибо, например, деньги с карты на карту уводят досточно беспроблемно и после предъявить обвинение держателю карты, куда были переведены деньги, практически невозможно. Лично у меня нет комментариев по данному поводу.
Итак, мы получили скан паспорта пользователя. Нет, фотошопить фотографию с лицом пользователя, где он держит его перед камерой, мы не будем. Мы пойдем к мобильным операторам, которые с радостью подставят жертву. Регистрируем фейковую страницу ВКонтакте на левый номер телефона, врубаем VPN и пишем в официальное сообщество оператора мобильной связи жертвы сообщение примерно следующего содержания:
«Добрый день. Нам требуется установить переадресацию всех звонков на новый номер телефона. Доступа к самому телефону не имею. Что от меня нужно для совершения данной операции?»
И что же дальше? У вас спросят номер телефона жертвы, новый номер телефона, куда требуется переадресовать все звонки и паспортные данные для «подтверждения вашей личности и владения номером телефона». Здорово, не правда ли? Достаточно просто купить новую симку на вокзале за 300 рублей, либо купить виртуальную симкарту где-нибудь в сети и не париться. Сообщаете всю информацию и все, дело в шляпе — переадресация включена и, что самое удивительное, — жертва не мгновенно оказывается уведомленной о подключении переадресации.
Сначала уведомление вообще не пришло, прошел час — пришло целых 2 раза:
Попробовал подключить услугу на другом номере телефона данного оператора — уведомление приходит спустя 2-3 минуты, что достаточно для совершения дальнейших действий по получению доступа к странице. К тому же, если проделывать это все в 4 часа утра, то вряд ли жертва проснется от смс оператора и успеет что либо сделать вовремя.
Вообщем плохо, если лично у вас такой оператор:
Хорошо, если такой:
Итак, теперь идем ВКонтакте и начинаем взламывать:
Начинаем восстанавливать пароль:
На данном этапе наша жертва получает смс о том, что кто-то пытается сменить пароль на странице:
Но только вот, что с того? Что вот лично вы успетеете сделать за 2 минуты? Смс мы не перехватим, т.к. переадресация работает только на звонки. Но нам это и не интересно. Нажимаем «Выслать код повторно» и видим следующее окно:
Поняли, что мы дальше сделаем? Ага, пусть робот сделает звонок и оператор переадресует его на на наш номер телефона и сообщит нам код для смены пароля. Итак, звоним:
Робот звонит на наш левый номер телефона, сообщает код и после мы просто берем и меняем пароль:
Все, доступ к странице получен. Скорее всего паникующая жертва скоро сменит пароль и тогда данное действие можно будет повторить снова и у хакера есть всего лишь 2-3 минуты в запасе. Но нет никаких проблем запустить скрипт дампа страницы, который сохранит всю историю переписок, все фотографии и все, что только душе угодно за пару секунд.
Комментарии (323)
N3661
13.01.2019 22:22+1В случае использования TOTP не прокатит ведь?
TonyLorencio
14.01.2019 10:39В ВК нельзя оставить исключительно TOTP, вроде бы. Буду рад, если неправ
EminH
14.01.2019 12:53многие сервисы настойчиво рекомендуют указать номер мобильного и используют его как метод восстановления если TOTP утерян
la_stik
14.01.2019 21:49Прав. Можно через TOTP, а можно смской подтвердить, при том перевыпуск TOTP не требуется
so1ov
13.01.2019 22:22+11От таких clickbait'ов у меня каждый раз глаз выпадает и катается по полу.
Заголовок гласит «взлом вк», в статье описывается компрометирование паспортных данных и интеграционное спагетти с их помощью.gecube
13.01.2019 22:28Насчет паспортных данных — да есть 100500 компаний, которые имеют мои паспортные данные. И знают номер моего телефона. Начиная от всех работодателей и кончая всякими сервисными службами (операторы связи, провайдеры, чуть ли не ЖЭКи и пр.).
Кстати, как правило, человек паспортные данные и номер мобильного телефона не меняет на протяжении достаточно долгих периодов времени, ну, например, 5-10 лет.
Поэтому подставы можно ожидать и не только от сотрудников салонов мобильной связи.Drebin893
13.01.2019 23:29+4Спойлер: зарегистрировав российскую сим-карту на реальные паспортные данные, вы их поместили в интересную песочницу, откуда их может извлечь каждый, имеющий около 7-15 евро.
Idril
13.01.2019 23:45-9Пруфов, разумеется, до сих пор нет? Всё так же основывается на скринах левых объявлений на непонятных форумах?
php_freelancer
13.01.2019 23:52+6К сожалению, достаточно зайти в даркнет, где вам любезно предложат весь спектр услуг, от слития паспортных данных по номеру телефона до получения информации о всех ваших тратах по всем счетам в Российских банках. Могут даже бесплатно урезанное демо сделать. All inclusive. Проблема в том, что такие возможности очень широко афишируется, т.к. пошел какой-то хайп на даркнете и каких-то «посылках с даркнета». Мол как просто получить доступ к подобного рода информации.
Moskus
14.01.2019 00:03+4В общем, можно ни в какой «даркнет» не ходить — недобросовестный сотрудник салона связи обнаруживается обходом ближайших салонов за несколько часов. Предварительная выборка потенциально готовых к подобному сотрудничеству делается просто по внешнему виду.
DjPhoeniX
14.01.2019 18:04В салонах операторы (во всяком случае, мой) обязаны (технически) для выдачи данных ввести код из смс, которое присылается на номер, данные которого я запрашиваю. То-есть я говорю «дайте детализацию по +7991000####» — «ок, код из смс пожалуйста» — «Сообщите дилеру код для подтверждения операции: ######» — «ОК, печатаем». Если с СМС сложности, требуют паспорт и письменное заявление, «мы вам перезвоним».
Drebin893
14.01.2019 00:13+4Я тоже многократно видел эти услуги своими глазами, при чем не абы где, а на известных в определенных кругах и весьма авторитетных (увы!) ресурсах. Думаю, мы с вами друг друга понимаем.
Писал несколько разгромных статей на хабр о бессовестной торговле персональными данными на постсоветском пространстве, но, что знаково: в них отписался ряд очень забавных комментаторов с писаниной в стиле «какие ваши доказательства» © (идеально читается голосом из х/ф Red Heat).
То есть некоторым людям всерьез понадобилось, чтобы для них провели наглядный следственный эксперимент: вот мой паспорт, вот мой оформленный на этот паспорт телефон, вот услуга «пробива» на форуме, вот значит оплачиваю услугу, вот получаю все мои счета в известном на всю Россию зеленом банке, а вот и паспортные данные получаю, все совпадает! Иначе «не пацан не отвечаешь за базар», или как там в России принято.
(мне достаточно и того, что по роду деятельности в прошлом сам несколько раз становился жертвой, т.к. мои данные и сливали самым наглым образом, и получали по «своим каналам» люди, которые не должны были их получить)
Хотя на мой взгляд, все гораздо прозаичнее. Дико забавно наблюдать на хабре комменты от лево-акков с горсткой постов, где больше половины это традиционные «не все так однозначно», «начни с себя», «вон у них в Америке», «хотите как на Украине». По странной случайности, у них-то и начинается тягомотное «а вот докажи», как только вскрывается неудобная правда о российских государственных структурах и российском около-государственном бизнесе.
Так что, делая обзор, будьте готовы к таким комментаторам. Буду очень рад прочитать вашу статью! Обязательно напишите свой обзор на Хабр.shalm
14.01.2019 08:13Разных майоров немеряно, куда не плюнь сразу в двух попадёшь, раз так должны быть причины их содержать — порядок полный в том же доступе к информации, а выходит наоборот, у семи нянек дитя без глазу, вот и приходится им хотя б видимость порядка организовывать, отрицать очевидные вещи, замалчивать дикие факты
geisha
14.01.2019 15:20-3в них отписался ряд очень забавных комментаторов с писаниной в стиле «какие ваши доказательства»
Привет, это я, твой забавный комментатор. Я по-прежнему считаю, что статьи о любых взломах на Хабре без proof-of-concept ничего не стоят, потому что их в принципе невозможно опровергнуть. Да, именно невозможность опровергнуть и скользкие формулировки отличаютпервый каналжёлтый журнальчик от того, чем раньше был Хабр.
Так что, делая обзор, будьте готовы к таким комментаторам.
Да, подготовьте несколько конспирологических комментариев с обязательным упоминанием Украины. Типа вашего. Такое на хабре очень любят (нет, мой дорогой читатель комментариев, это — не сарказм, уже лет 5 как нет).
Moskus
13.01.2019 23:56+4С любителями требовать доказательств (да, слово «пруф», на самом деле, пишется именно так) есть всегда две типовые проблемы:
— совершенно непонятно, почему кто-то должен предоставлять доказательства именно им;
— также совершенно непонятно, какие доказательства вообще могут быть в случае, когда речь идет о том, что само по себе незаконно.
То есть, что это должно быть, объявление в газете «продам личные данные пользователей Билайн, обращаться в салон связи такой-то, спросить Васю»? Или инкриминирующий того, кто проверил такую возможность, скринкаст с реальными данными?Idril
14.01.2019 00:05-11Выходит, стоит верить всему, что где-то написано?
Если мы завтра увидим статью про то, что человек якобы взломал сайт Пентагона и в качестве доказательства выложит скриншот с ssh клиента, где будет написано «Ubuntu Server 18.04 Pentagon Edition», мы должны будем поверить этому?
Что плохого в том, чтобы критически относиться к подаваемой информации? Мы ведь живём далеко не в мире розовых пони, где везде правда и только правда.Moskus
14.01.2019 00:18+9Вас никто не заставляет ни во что верить просто так, только потому, что это кто-то сказал. Но вот, например, мне (и множеству других людей) не нужно никаких «доказательств», потому что я уже (независимо от этой статьи) знаю, что получить паспортные данные — возможно. Так что для меня, и для множества других, это просто история о том, что и как просто можно сделать с данными, которые, как мы уже знаем, доступны. Соответственно, ваше заявление о бездоказательности — это проблема отсутствия у вас нужных знаний, а не проблема самой статьи. А также, это проблема с тем, что вы, вероятнее всего, воспринимаете любое заявление о взломе, как хвастовство автора. Что совершенно не обязательно так, потому что это может быть просто констатацией факта.
Поскольку вы любите аналогии (правда, приводите их неудачно), я тоже вам представлю аналогию. Например, я вам могу сейчас сказать, что радиус атома водорода — 53 пикометра. Вы тоже совершенно не обязаны мне верить, но и я не обязан вам представлять всю экспериментальную базу, чтобы доказать, что это так.tnsaturday
14.01.2019 12:19-1я уже (независимо от этой статьи) знаю, что получить паспортные данные — возможно.
Дальше что? Пару лет назад здесь была уже статья ровно такая же, с апокалиптическими криками о том, что нас всех взломают, ограбят и т.д. И что? Я взял свой паспорт, сделал с него ксерокопию (абсолютно легально, заметьте) и пошел тестировать. В спальнике типичного российского миллионника. Зашел в три салона сотовой связи купить карточку, ни в одном мне это не удалось. Зашел в ларьки «быстро деньги» и «деньги сразу» и, естественно, был послан далеко и надолго. Да мне даже в хостеле койку на ночь взять не удалось! Единственное, что я смог сделать — это купить в пятерочке бутылку пива.
Вы, конечно, скажете, что у меня лицо не такое, разговариваю я не так, МОЖНО было деньги предлагать и т.п. Я вам так скажу, имея много денег можно в космос полететь, или, следуя вашей логике, просто комплект документов заказать на вашем любимом «даркнете».iig
14.01.2019 12:31+1Миф: с помощью предмета, похожего на пластмассовый пистолет, грабят банки.
Что делает разоблачитель мифа: берет пластмассовый пистолет, пишет свою false story.
То, что у вас не получилось использовать ксерокопию своего же паспорта, никак не отменяет возможноть подобного действия.
Hardcoin
14.01.2019 13:06-1Вы опровергли квантор всеобщности, это хорошо. То есть утверждение "каждый может с помощью ксерокопии паспорта увести чужой аккаунт" не верное.
А вот квантор существования таким образом не опровергается. Да, обычно его следует доказывать, а не опровергать, но тем не менее.
Kobalt_x
14.01.2019 20:03А вот квантор существования таким образом не опровергается. Да, обычно его следует доказывать, а не опровергать
А бремя доказательства на ком лежит не подскажете?
Hardcoin
14.01.2019 22:02Ни на ком, конечно, не лежит. Хотите опровергнуть существование — пожалуйста. В определенных рамках и условиях это возможно. Считаете, что утверждение не значимо, пока существование не доказано — пожалуйста. Разумный подход. Если захотите сказать — "отсутствие доказано, пока не доказано существование" — это не совсем верно логически, но в быту используется.
Касательно темы — пока никто не показал существование. В смысле, возможность купить данные по номеру телефона на форуме в интернете. Много людей тут считают, что это возможно, но, если я верно понял, никто не пробовал. Утверждать на таких данных, возможно это или нет — не возьмусь.
lolhunter
14.01.2019 16:45Эмм. Идешь на любой рынок типа горбушки и покупаешь симки пачками по 300р.
По быстроденьгам и прочему — там этим промышляют люди, имеющие доступ и им ваша ксерокопия, как и вы сами нафиг не нужны. Там какой-нибудь менеджер Петя у которого план горит напилил анкет по купленным копиям паспорта и поехал на юга. Ну или нач службы безопасности вместе с учредителями договорились и вытащили немножко кэша…
Griboks
14.01.2019 00:20+2Такие вещи невозможно доказать. Но, предупреждён — значит вооружён, не так ли?
ne555
14.01.2019 08:50Почему невозможно доказать, если Вам алгоритм предоставлен?
TimsTims
14.01.2019 09:54Всегда останутся неверующие, которые скажут, что это подстава, и данные заранее он себе свои выкачал, конвертнул формат. Даже если онлайн видео с перепиской записывать.
Hardcoin
14.01.2019 13:12Идея доказательства не в том, что бы "не осталось неверующих", а что бы рассмотреть все значимые вероятности.
Например, до сих пор есть неверующие в то, что земля круглая. Но это не значит, что доказательство круглой земли не возможно. Оно возможно и оно есть.
Возможно, кому-то достаточно тех частей доказательства, что уже представлены (скриншоты форумов, например). Однако наличие неверующих — это не довод, что более серьезные доказательства "невозможны". Они, конечно, возможны.
TimsTims
14.01.2019 15:41-1что бы рассмотреть все значимые вероятности.
Что за бред. Доказательство не может быть вероятностным. "Уважаемый судья, скорее всего этот человек виновен, давайте его казним на электрическом стуле."
Доказательство должно быть железным, на уровне теоремы, как теорема Пифагора. Доказательство нельзя опровергнуть. Вероятности остаются вероятностями, но никак не доказательствам.Hardcoin
14.01.2019 16:04что бы рассмотреть все значимые вероятности.
Доказательство не может быть вероятностныЦепочка ваших рассуждений мне не ясна. Суть вашего возражения — тем более. Много доказательств в суде, конечно, вероятностные (например, все показания свидетелей именно такие), но как это относится к делу?
Доказательство должно быть железным, на уровне теоремы, как теорема Пифагора.
Это возможно только в формальных науках. В естественных — это предмет дискуссии, в социальных — невозможно.
Давайте я сформулирую по-другому. Что бы рассмотреть все потенциальные возможности (по возможности опровергнув все, кроме одной). Возможно, так понятнее.
Am0ralist
14.01.2019 17:01+2Что за бред. Доказательство не может быть вероятностным.
Какова точность ДНК-анализа?
Тогда б судили убийц только пойманных на месте преступления, причем с обязательной фиксацией на три независимых устройства сбора данных.
Ну и тогда б суд присяжных был бы не нужен, если б 100% факты в суде только рассматривались…
Griboks
14.01.2019 10:17Потому что вы не сможете повторить этот алгоритм на суде. Тем более, он не общий.
OZR
14.01.2019 12:19Очевидно, что доказательство возможно, но категорически нежелательно, т.к незаконно. И оказаться в тюрьме ради чрезвычайно очевидного «пруфа» незнакомцу из интернета, один из самых глупых поступков, которые только можно совершить. Наиболее логичное решение, подобных вопрошающих «пруфы», записать в слаборазвитых и прекратить общение, т.к оно не эффективно и не способно привести к каким угодно положительным результатам. К сожалению, всё IT больше похоже на дуршлаг. Утечки данных теперь уже совершаются каждый день изо всех мест, которые только можно представить. И для тех, «кому нечего скрывать», просто напомню, что достаточно всего лишь информации, что Вас не будет дома 30 минут, чтобы уже нанести ущерб. И кража одно из самых безобидных, что может произойти. Мир не без плохих людей. И их много. Многие из них терпеть не могут других. У каждого человека найдутся хейтеры. И у Христа они были. Что уж говорить, про обычных, даже самых добрых и ангельских людей. Так что всё что о Вас известно. И всё что Вы скажете может и обязательно будет использовано против Вас. На этом моменте я просто пожелаю, чтобы _розовый_ мир, где угроз нет, в Вашей реальности действительно оказался таковым. Добрым и мягким. Не всё в этом мире необходимо доказывать, показывать и проверять. Со многим в этой жизни лучше никогда не соприкасаться. За сим желаю здоровья, и чтобы все беды обошли Вас и всё сообщество стороной.
Moskus
14.01.2019 00:21+4Ну и вы на мои (в общем, совершенно не риторические, а вполне реальные) вопросы так и не ответили, естественно.
— Почему кто-то должен предоставлять доказательства именно вам?
— Какие доказательства вообще могут быть в случае, когда речь идет о том, что само по себе незаконно?Idril
14.01.2019 00:44-8Почему кто-то должен предоставлять доказательства именно вам?
Мне никто ничего не должен, это понятно. Но я проясню свою позицию. Я далёк от ИБ. Но мне стало интересно (после недавних публикаций) — действительно ли так просто получить персональную информацию обо мне, которую я оставил, находясь в РФ? Я изучал этот вопрос на хабре, но кроме скриншотов левых сайтов с объявлениями я так ничего и не увидел.
Ок. Не хотите — не предоставляйте доказательства. Ваше право.
Какие доказательства вообще могут быть в случае, когда речь идет о том, что само по себе незаконно?
Полагаю, что сценарий, когда человек выкупает информацию о себе, а потом сообщает об этом в соответствующие службы оператора. С официальным ответом этого оператора.Moskus
14.01.2019 00:53+7Как я вам уже написал выше, совершенно очевидно, что продажа личных данных — это не официальная услуга салонов связи или самого оператора, потому, естественно, это всегда будут скриншоты «левых сайтов», просто потому, что именно на «левых сайтах» это и продается.
Что до «выкупа информации о себе» — вы хотите, чтобы ради того, чтобы вы в чем-то удостоверились, автор опубликовал свои данные для всего мира? Серьёзно?
И что к этому всему добавит «официальный ответ оператора»?Hardcoin
14.01.2019 13:21автор опубликовал свои данные для всего мира
А их не нужно публиковать. Например, сам факт того, что человек попробовал это сделать и у него получилось — очень сильно поднимает вероятность того, что это так. Конечно, он может соврать, поэтому это не будет считаться строгим доказательством, но это действительно поднимает вероятность.
Если так сделали два-три достаточно независимых человека с большой историей на хабре — будете ли вы считать, что это то же самое по надёжности, что и скриншот с форума с обещанием (!) предоставить данные?
Лично я буду считать заявление об успешной попытке получить данные от нескольких человек намного более серьезным заявлением, чем утверждение, что это возможно, но никто не пробовал. А вы?
Я не настаиваю, что это нужно делать. Может и не нужно. Но разница в силе доказательства огромная, как считаете?
Nalivai
14.01.2019 16:59+1Надо понимать что это несколько противозаконно, даже в случае инфы о себе, и может привести, при плохом исходе, к довольно серьезным проблемам. Преступникам это не так важно, они и так собираются мошенничать, а вот законопослушному гражданину нарушать закон ради такой мелочи несколько странно. Я бы вот не решился.
Hardcoin
15.01.2019 11:19Тезис звучит как "это делать рискованно, поэтому никто не будет, и так понятно, что сработает".
Но считать, что это сработает только потому, что проверять рискованно — то же, что считать "бозон Хиггса существует, проверять не будем, дорого". Нельзя так. Можно либо проверить, либо считать гипотезой, а не фактом.
Я вот тоже проверять не буду. Но считать на этом основании, что на скриншотах не обман было бы не разумно.
Nalivai
15.01.2019 11:44Да нет, просто риск, трудозатраты, стоимость и потенциальная опасность неиллюзорной тюрьмы, не стоит бенефитов — попытаться что-то доказать анонимному пользователю хабры. Ну вот то есть совсем не стоит.
Hardcoin
15.01.2019 11:56Доказать что? Что сам не проверял? В этом ключевая проблема — разговор идёт вокруг "можно и нужно ли доказать анонимному пользователю хабра то, что никто не проверял".
Это глупо само по себе, думать, стоит ли доказывать другому то, истинность чего сам не знаешь.
Более разумный подход — это подумать, нужно ли проверять. Если не нужно — тогда явление останется в категории гипотез и рассуждение "не буду ничего доказывать другим" даже не возникнет.
saboteur_kiev
14.01.2019 04:01+1Вы сильно лукавите. Вам показали не скриншоты левых сайтов, а практически подробную инструкцию в скриншотах, как выполнить это действие.
То есть вы можете самостоятельно провести эксперимент, возможно потратив некоторую сумму (например купив лишнюю сим-карту, с которой вы будете взламывать свой же аккаунт). И убедиться, что инструкция рабочая.
Либо вы даже можете сами заплатить в даркнете за услугу взлома самого себя и получить о себе данные.Idril
14.01.2019 05:14-3В данном контексте меня интересовал не конкретно «взлом» аккаунта вк, а гипотетическая возможность получить паспортные данные (пользоваться не собираюсь, но меня беспокоит сохранность моих данных). И, хоть убейте, я не вижу подробных инструкций по этому делу. Каких либо примеров, чтобы эти данные получали — тоже. Всё что есть — это скриншоты с объявлениями.
В связи с этим я и задал вопрос, который меня мучает уже некоторое время. И, судя по минусам в моих комментариях, он сильно не понравился местной аудитории (полагаю, тут надо было поверить на слово и заткнуться).Moskus
14.01.2019 05:46Инструкция предельно тупа:
— берете тысячную купюру и номер телефона на бумажке
— идете в ближайший салон связи, когда там поменьше клиентов
— находите сотрудника, который больше остальных похож на гопника
— убеждаетесь, что вас никто не слышит и просите его «пробить номерок»
— если не получилось, идете в соседний салон связи.
Druu
14.01.2019 07:54Каких либо примеров, чтобы эти данные получали — тоже. Всё что есть — это скриншоты с объявлениями.
Допустим, автор сказал, что воспользовался услугой и купил данные. Как ему потом доказать, что это действительно так?
Hardcoin
14.01.2019 13:27Есть определенная вероятность, что он соврет, да. Но она не 100%. Если таких людей несколько, с историей на Хабре, это в разы более сильное заявление, чем скриншот с обещанием. Потому что в случае скриншота нужно верить человека, который преступник, неизвестен и материально заинтересован. Шансы что он соврет — заметно выше.
А вот если это сделаю я или вы, пусть даже без особой репутации на хабре, то можно учесть отсутствие материальной заинтересованности и априорную вероятность, что не преступник.
То есть это не строгое доказательство, но намного более сильное свидетельство, чем скриншот.
Kirhgoff
14.01.2019 05:49Не тратьте на него времени — с весьма большой вероятностью это тролль. Акк зарегистрирован в ноябре 2018, как и большинство троллей здесь, карма в минусе, никаких постов, хабов, ничего нет, кроме комментов, половина в глубоком минусе. Данный тролль весьма успешен, есть плюсовые комментарии.
Moskus
14.01.2019 05:55+3Вы верно описали ситуацию, но делаете неверный вывод.
Это «классических» троллей не стоит «кормить», потому что все, что они хотят (в результате своих дефективных социальных навыков) — это вызвать эмоциональную реакцию окружающих.
А «новых» троллей, которые занимаются, вольно или невольно, пропагандой или спорами ради споров, нужно воспринимать вполне серьезно, потому что большинство читающих это — не в состоянии «расшифровать» их ложь, лукавство, заблуждения. Так что отвечать на то, что они пишут — стоит, но не для них, а для тех, кто это читает.
stalactite
14.01.2019 07:06-3А то вы не понимаете почему в минусе? Вы же и минусуете все что угодно: комменты, карму всех неугодных вам Лишь потому, что мнение отличное от мнения большинства у людей еще бывает, представляете? Сами же и не соблюдаете правила Хабра, где написано уважать чужое мнение. А у вас цель выжать всех неугодных отсюда и сидеть кайфовать кучкой в человек 20-30. А потом удивляются еще почему Хабр не тот, почему то-то и то. И, да, знаю, что этот коммент заминисуют как обычно, правда тут многим глаза режет.
TimsTims
14.01.2019 11:21+1Хабр — наверное последнее место в ру.интернете, где большинство голосующих имеют четкую логическое мышление. Если вы отстаивание свое мнение, и даёте аргументы, то с вами соглашаются и плюсуют. Если ваши аргументы неубедительны, то вас минусуют.
Несоответствие механики работы кармы и правил сайта — это вам нужно писать в администрацию. Коротко, ответ такой: карма позволяет обществу саморегулироваться, держать меньше модераторов, которые бы это делали вместо пользователей, а значит и не пускать зловещую рекламу на сайте.PsyHaSTe
16.01.2019 15:50+1Не обязательно. У меня есть хороший знакомый, который постоянно ловит по паре минусов в месяц, за отстаивание аргументированного, но непопулярного мнения. ИСЧХ, посты-то при этом плюсуются. А карма куда-то девается.
TimsTims
16.01.2019 20:45Мы же люди, а не роботы) у меня аналогично — плюсов бывает по +30 и по +22, а кармы не прибавляется, зато получил -2 минуса за коммент и сразу минус в карму. Вот бы кто вывел закономерность)
MadBambula
16.01.2019 16:50Неужели никто не кинет в товарища ссылкой. Если уж такой интерес, то почему бы не поискать в интернете какой-нибудь форум (на первой же странице) с продавцами подобных услуг, и потратив немного денег на собственном опыте проверить возможно ли купить подобные данные
Moskus
14.01.2019 00:33+4Да, и «критическое отношение к информации» или «скептическое мышление» — это не попугайское требование доказательств от других, это способность самому анализировать правдоподобность тех или иных утверждений.
Idril
14.01.2019 00:50-6Вот именно. И самостоятельно проанализировав эти утверждения на основе имеющихся у меня данных, я пришёл к выводу, что утверждения весьма сомнительны. Поэтому запрашиваю доказательства (и получаю в ответ, что — «ты не в теме, значит сам дурак»).
За сим откланиваюсь. Хорошего вечера.
roscomtheend
14.01.2019 10:03Не живите в мире пони, идите работать к бизьнесьменам — много чего инетерсного и нового узнаете (про то, например, что слово «биллинг» на их жаргоне — это получение информации о жертве из салона сотовой, например, по местоположению (по вышкам)). Причём «бизьнесьмены» могут быть в совсем отвлечённых от IT областях, они просто привыкли всех «пробивать», следить за женой и чёрт ещё знает что делать. Свой мирок, где не хочется оставаться, но тогда ваши пони в ужасе разбегутся.
yetanotherman
14.01.2019 04:45Я всерьез задумываюсь о проведении такого эксперимента со своими данными (а именно — купить лично мои данные в даркнете). Почему вы считаете, что данные действия могут быть незаконными?
Cerberuser
14.01.2019 05:34+1А закону не пофиг, чьи данные? Продавец получил прибыль от незаконных действий, Вы — покупатель, осознающий незаконность действий продавца. И то, и другое от конкретного содержания данных не зависит (только от факта, что это ПД), и, по идее, этого достаточно. Другой вопрос — как этим воспользуются: могут замять дело для покупателя и закрыть продавца, а могут и наоборот — сцапать покупателя, бодро отчитаться о "профилактике преступлений", а продавцу только пожелать удачи и напомнить, чтобы не забывал делиться прибылью.
yetanotherman
14.01.2019 05:47Нет, закону как раз не пофигу. В отличии от чужих ПД, в отношении своих я имею право решить, кому я разрешаю или не разрешаю их обрабатывать. Отсюда и вопрос.
agat000
14.01.2019 07:55Гипотетически: вы, путем подкупа или обмана, склоняете сотрудника организации к нарушению его служебных инструкций и уголовного кодекса. Он совершает преступление. А вы не просто соучастник, а организатор преступления, совершенного в группе, по предварительному умыслу.
Не посадят, конечно, но условно дадут запросто. Обоим.yetanotherman
14.01.2019 07:57Нет, не так. Я нашел в сети объявление и обратился по нему. Если я приду с таким предложением в салон — это гарантированно будет незаконно.
SLIDERWEB
14.01.2019 09:06+1Вообще-то, это юрисдикция УК, и при возбуждении дела учитывается и умысел (мотив). Так что, если совершаешь подобные деяния с умыслом «проверить», и в отношении только своих ПДн, то к Вам норма права УК РФ не применима, так как нет состава преступления, по причине, озвученной yetanotherman.
agat000
15.01.2019 12:00А склонение другого человека (невинной овечки, но слабохарактерной) к таковому деянию?
SLIDERWEB
15.01.2019 16:21Какое склонение? К чему? Я имею право просить кого угодно и о чем угодно. Повторюсь, автор не совершил ни одного преступления.
А вот действия должностных лиц — вызывают вопросы.
saboteur_kiev
14.01.2019 15:43Когда вы платите в салоне сотруднику, за пробив ВАШИХ данных, он нарушает закон, потому что не имеет права это делать — это не его трудовая обязанность, это ее нарушение.
Во-вторых вы платите человеку за то, что он нарушает закон — а значит у вас сговор.
В-третьих, вы с ним договор об этой услуге не подписываете, налоги с этой сделки никто не платит, уже этого достаточно чтобы вы не имели право решать.yetanotherman
14.01.2019 15:50Вариант с салоном заведомо провальный — я даю взятку и провацирую сотрудника салона на преступление, несложно представить возможные последствия. Я рассматриваю исключительно случай с запросом в интернете.
saboteur_kiev
14.01.2019 17:31случай с запросом в интернете отличается только тем, что вы и сотрудник в салоне общаетесь не лично, а через интернет.
yetanotherman
14.01.2019 18:21Это интересный момент. Отличий всё-таки побольше будет, вопрос в их юридической значимости.
Кстати, относительно салона всё тоже не однозначно. Мне сдается, что правильно спланированный диалог и знание своих прав сделает виноватым всех, кроме тебя самого. В теории. Конкретно это утверждение на практике я проверить не возьмусь в нашей действительности, по крайней мере, без очень хорошего юриста. Точнее, без очень хорошего юриста и связей.saboteur_kiev
14.01.2019 19:30Если есть связи, вы можете сами быть этим сотрудником. Или тем, кто вообще может нарушить любой закон и остаться безнаказанным.
О чем вообще спор?
Пробив личной информации в РФ слишком доступен, мало наказуем, руководство страны слишком далеко от понимания технической реализации цифровой безопасности, чтобы вводить вменяемые законы, да и вообще им не до этого.
yetanotherman
14.01.2019 19:53А вы меня не поняли. Спора-то нет. Я действительно рассматриваю варианты, как в рамках закона проверить доступность моих ПД и, в случае положительного результата, что я могу сделать. И в общем-то всем, кто накидал варианты — я благодарен, независимо от того, считаю ли я эти варианты валидными или нет.
А властям и будет пофигу, пока таких любопытных как я — единицы. Если всем пофиг на их ПД — с чего бы власти начали чесаться?saboteur_kiev
16.01.2019 15:48В рамках закона, ПД не должны быть доступны посторонним.
Поэтому проверять в рамказ закона незаконные действия — рядовому гражданину запрещено законом. Для этого вы должны быть сотрудником госорганов, вдобавок действововать по конкретному приказу согласно которому вы выполняете расследование.
В лучшем случае, можете попробовать действовать в рамках журналистского расследования, но действия должны быть в рамках закона.
Skycaptain
14.01.2019 07:18я не специалист, но закон рассматривает не только факт самого действие, но и умысел.
Moskus
14.01.2019 07:25А еще закон рассматривает метод. Если для того, чтобы положить себе денег на телефон, вы сломаете биллинговую систему оператора, а затем честно переведёте себе со своего банковского счета некую сумму, а не просто «нарисуете» ее на своем телефонном счёте, вы всё равно сядете за взлом.
Moskus
14.01.2019 05:51Предложение взятки за злоупотребление служебным положением с целью получения доступа к личным данным — это три преступления в одном.
И если это ваши личные данные (про которые я ничего не говорил, потому что речь шла о получении доступа к чужим данным, а не к своим), из суммы пропадает только одно слагаемое.yetanotherman
14.01.2019 06:10Злоупотребляю служебным положением тоже не я, остается только взятка. Боюсь, тут тоже может быть сложно натянуть, особенно, если я данные по факту получил, они мои и я задокументировал весь процесс.
Moskus
14.01.2019 06:14А это вы будете объяснять в суде, потенциально. Учитывая, как суды любят помогать полиции с улучшением статистики, ваши шансы не особо хороши.
yetanotherman
14.01.2019 06:21Я думаю для начала что шанс, что кто-то из этих продавцов или покупателей окажется в суде — ничтожно мал. По причинам похожим на озвученные вами. Но за вариант про взятку — спасибо, на всякий случай учту.
Moskus
14.01.2019 06:27Давайте не будем смешивать «шанс попасться мал» и законность подобной затеи, это очевидным образом глупо.
yetanotherman
14.01.2019 06:45Тогда давайте не будем теоретизировать. Я хочу например «получить детализацию за деньги». Пока эта детализация моя — не вижу в этой затее ничего незаконного независимо от того, в каком странном месте я её запросил (например, описанный в статье чатик — похоже то ещё странное место). Если вы можете рассказать как с юридической точки зрения мне можно вменять дачу взятки должностному лицу за это действие — буду вам благодарен.
Moskus
14.01.2019 07:16«Не теоретизировать» — это если вы действительно это сделаете, а потом будете действительно отстаивать свою невиновность в суде. А все разговоры здесь — это теоретизирование по определению, потому что есть закон, а есть правоприменение, о котором можно судить только по тому, как себя поведет реальный суд.
Например, суду может быть совершенно наплевать на обстоятельства, когда гражданин дает деньги должностному лицу за то, чтобы это лицо сделало то, что оно обязано сделать (но по какой-то причине — не хочет), а не то, чего делать нельзя. Это всё равно может быть квалифицировано, как взятка, и так бывает. Гражданин в этой ситуации не виноват, только если чиновник у него явно эти деньги вымогал, а гражданин обратился в полицию.
Неправомерный доступ к данным — это деяние, которое квалифицируется по методу, а не по тому, к каким данным получают доступ. Потому весьма возможная с вашей стороны аналогия про то, что вещь нельзя украсть у самого себя будет неуместной, потому что дело не только в том, что вы получили, но и как. И это даже без допущений, что вам могут пришить, что это вы ради теста самого себя «пробивали», чтобы убедиться, а потом на ком-то еще это использовать.yetanotherman
14.01.2019 07:30Для дачи взятки должностному лицу — нужно должностное лицо для начала. Неправомерный доступ к данным тут вообще неприменим. Поэтому, пока не вижу причины считать такой эксперимент незаконным.
Что же касается «а вдруг меня за это арестуют и будут судить, а там суд мне может нарисовать что-нибудь страшное» — так мне могут наркотики еще например подкинуть или кирпич на голову упасть — что теперь, на улицу не ходить?Moskus
14.01.2019 07:49Если вы пойдете в салон связи, чтобы «коррумпировать» тамошнего клерка (так делают те, кто ни к какому «даркнету» не имеет отношения), ваша взятка пойдет на нарушение им должностных обязанностей.
Если вы пойдете в «чатик», то это не взятка, а плата за доступ к информации, который неправомерен (потому что тот, кто где-то украл или купил базу, сделал это незаконно). Я не знаю, что вы выкручиваетесь. Если всё так радужно и безопасно — пойдите и проведите эксперимент, включающий в себя обращение в полицию с заявлением, что вам удалось ради эксперимента это провернуть, а потом, если сможете, с нами поделитесь.yetanotherman
14.01.2019 07:56Про салон связи я с вами согласен.
Про чатик — боюсь это так не работает.Moskus
14.01.2019 08:00А как это, по-вашему, тогда работает в случае чатика? Вы — добросовестный приобретатель, что ли? Конечно, нет.
yetanotherman
14.01.2019 08:08Под признаки ст. 175 УК РФ «Приобретение или сбыт имущества, заведомо добытого преступным путем» не подпадают приобретение и сбыт заведомо добытой преступным путем цифровой информации.
Moskus
14.01.2019 08:16При чем тут имущество, о чем вы вообще?
УК РФ, ст. 272 п.1 (по признаку «копирование») или п.3 (если оплату услуг «барыги» квалифицируют, как сговор). Эта статья — универсальная, она не только про «сидюк скопировать» или кино через оператора проектора в кинотеатре на торренты слить.yetanotherman
14.01.2019 08:21Про имущество я в контексте добросовестного приобретателя. В рамках нашего законодательства совершенно не важно, как добыли информацию, которую я приобрел. Что касается УК РФ, ст. 272 п.1 — закон не охраняет мои ПД от меня, по этой же причине п.3 неприменим.
Moskus
14.01.2019 09:36В рамках нашего законодательства совершенно не важно, как добыли информацию, которую я приобрел.
Это утверждение не соответствует действительности.yetanotherman
14.01.2019 14:35Вы с авторским правом не путаете? Если нет — почему вы так считаете?
Moskus
14.01.2019 16:57Нет, не путаю, потому что статья говорит не о «воровстве» информации, а о противоправном доступе к ней. Потерпевшим в данной ситуации является сотовый оператор, а не вы. Я уже выше объяснял про то, что аналогия с воровством у себя — неверна. А то вы так договоритесь до того, что прийти в банк, отобрать у кассира тысячу рублей, а взамен оставить ему записку «это я ради эксперимента, снимите эту тысячу с моего счета такого-то в этом банке» — тоже не преступление.
yetanotherman
14.01.2019 17:19Ну зачем вы передергиваете?
Вы говорите, что мое утверждение о том, что нашему законодательству не важно, как была добыта информация, которую я купил — не соответствует действительности. Можно пояснить, почему вы так считаете? Я допускаю, что я могу ошибаться, но я не нашел такой статьи. (Авторское право в расчёт не берем — не тот случай)
Что же касается неправомерного доступа к информации — я его не совершал и уже написал об этом выше. Это не я привел аналогию, это прописанная в законе норма — иначе, следуя вашей логике, мое обращение в службу поддержки будет квалифицироваться так же. Информацию скопировал? Да. ПД охраняются законом? Да. Разница только в том, что я мог знать, что продавец получил эти данные незаконным путем. Но ответственность за это будет только в случае приобретения имущества, кроме того, процесс доказательства моей вины, боюсь, будет нетривиален
fpir
14.01.2019 11:54Вещь можно украсть у самого себя. Нельзя подать заявление на самого себя. Но вариант когда вы принесли телефон, скажем, домой и положили на видное место, через время забрали, а ваша жена обратилась в полицию. И, допустим, стремительно завели уголовное дело. Всё, привет, Вы вор, и суд это подтвердит. Есть куча теоретических возражений, типа частного обвинения, примирения сторон и тд, но они все теоретические, и в практике часто обходятся. Пример предельно утрирован, но отдельные части этого примера встречаются часто.
Moskus
14.01.2019 16:59Аналогия неверна, я уже это объяснил здесь: habr.com/post/435916/#comment_19612218
yetanotherman
14.01.2019 17:23Я уже объяснил, что закон не охраняет мои ПД от меня в данном случае, поэтому, статья о неправомерном доступе к информации тут неприменима.
Arqualoq
14.01.2019 17:13+1Позволю себе не согласиться с вышесказанным, в виду того, что кража — это тайное хищение чужого имущества, а свое имущество по определению не может быть чужим.
SLIDERWEB
14.01.2019 12:17А вот тут очень интересная ситуация рисуется — как написано в преамбуле любого кодекса — необходим субьект правонарушения. Потерпевший. И вот тут то и начинаются юридические метаморфозы.
Если я совершаю противоправные действия в отношении себя, то данные деяния не являются составом преступления, иначе это будет нарушать мои конституционные свободы По этой причине, следователь, при допросе, обязательно будет задавать разные вопросы, которые нацелены на выяснение обстоятельств, при которых было совершено то или иное деяние. Это ляжет в мотивировочную частьrogoz
14.01.2019 13:11Вдруг потерпевший — сотовый оператор. Вы, в составе преступной группы, дали денежки сотруднику оператора, он «взломал» систему и нанёс урон репутации/что-нибудь ещё.
yetanotherman
14.01.2019 14:21Мой вопрос был исключительно про случай, что я откликнулся на объявление вида, например «предоставим детализацию по номеру телефона». Кому и зачем я дал денежку я предварительно и в процессе задокументировал, как и результат данной операции.
rogoz
14.01.2019 15:50То есть ещё и собрали все доказательства для тов. майора?
yetanotherman
14.01.2019 16:17Именно так. Например, доказательства представляют собой неразрывный видеофайл. Начинаются с текста «Меня зовут так-то так-то, я хочу проверить, какими способами я могу узнать детализацию по своему номеру телефона такому-то».
Я не питаю иллюзий на тему нашей правовой системы, но и в страшные ужастики тоже не верю.
Moskus
14.01.2019 16:59yetanotherman
14.01.2019 17:26Пожалуйста, покажите, в каких случаях закон запрещает мне получить доступ к моим ПД. Без этого нельзя квалифицировать мои действия как неправомерный доступ к информации.
SLIDERWEB
14.01.2019 19:27С юридической точки зрения, реализуя данный конкретный кейс, автор не совершил ни одного преступления. Он ни кому не платил денег за предоставление конфиденциальной информации, не вводил никого в заблуждение, с целью незаконного обогащения или или извлечения иной выгоды, не сообщал заведомо ложных данных и не получал несанкционированный доступ к каким либо информационным системам.
Он реализовал кейс, который, гипотетически, может реализовать кто угодно, и очевидно, что злоумышленнику будет начхать на то, к чему вы апеллируете, так как он осознанно идет на совершение преступления. Вопрос лишь в том, какие потенциальные риски несут абоненты и пользователи. Но как известно, спасение утопающих — дело рук самих утопающих. И расследованием подобных дел ни кто всерьез заниматься не будет. Максимум — заведут дело, отправят запросы операторам, о предоставлении информации. Получат портянку с ответом. повызывают Вас, для приличия, а потом составят достаточно неприятный и нудный разговор о том, что злоумышленника не найти, и порекомендуют отозвать заявление.
А вот зона ответсвенности оператора четко прописана в законе. И сам факт получения данной информации в обход утвержденной процедуры, или согласно ВНД, который позволяет получить конфиденциальную информацию третим лицам — это залет. Но Вы будете судиться с оператором и «доводить дело до конца» (2-3 года судов и сотни тысяч рублей)?
Кажется более правильным, после выяснения того, что подобный кейс возможен — расторгнуть все официальные отношения с таким оператором и отозвать разрешение на обработку своих ПДн.
Так что я совершенно не понимаю, к чему все эти рассуждения.yetanotherman
14.01.2019 20:42Спасибо, достаточно подробно. Ну не обязательно же идти в полицию с этим и в суд. Есть же ещё РКН и прокуратура. Не знаю, на сколько на практике им будет интересно доводить такое дело до конца, но и деваться им особо вроде некуда. Может я наивен, но слышал, их подобные обращения только радуют.
Расторгнуть договор — хороший вариант, но, если верить страшилкам про ПД, это совершенно не поможет. Вот для начала и хочется узнать, на сколько всё плохо, так сказать, из первоисточника.
UPD: И кстати, возможен ведь ещё и позитивный исход, например, моих данных не оказывается в открытом доступе или служба безопасности оператора находит запрос в биллинг по времени и номеру и наказывает сотрудника, который его выполнил. Пока что у меня позитивный опыт взаимодействия с оператором и, признаться честно, не вижу причины по которой они могут спустить такой запрос на тормозах.
sumanai
14.01.2019 19:36А вот тут очень интересная ситуация рисуется — как написано в преамбуле любого кодекса — необходим субьект правонарушения. Потерпевший.
Не нужен.
Hardcoin
14.01.2019 12:51-2почему кто-то должен предоставлять доказательства именно им
Именно им — не надо. Просто факт можно считать доказанным, когда он доказан (извините за тавтологию). А пока он не доказан, его можно считать гипотезой, верной с какой-то вероятностью.
На мой взгляд странные две вещи.
- Просьба подтвердить слова минусуется (способ подтверждения может выбрать тот, кто утверждает)
- Заявление считается верным не после проведенных экспериментов (например), а после тщательно построенных рассуждений против тех, кто просил подтверждений. Блин, да даже если они все на зарплате в ФСБ, каким образом это делает гипотезу верной? Пробовали бы в физике так доказывать.
P.S. доказательств не прошу.
Hardcoin
14.01.2019 13:01-3Впрочем, если обдумать, то второй пункт совершенно не странный. Это каскад доступной информации. Абсолютно естественно, что люди ему подтвержены, но лучше б они этого искажения избегали.
P.S. подверженность искажению не опровергает гипотезу. Просто надо учитывать, что без доказательств это именно гипотеза, а не факт. Степень её вероятности или качество доказательств каждый может оценить сам. Я не в коей мере не утверждаю, что она не верна.
DistortNeo
14.01.2019 13:10+1Просто надо учитывать, что без доказательств это именно гипотеза, а не факт.
Кажется, вы путаете понятия "факт" и "гипотеза".
Факт: "я купил собственные персональные данные в даркнете".
Гипотеза: "в даркнете можно пробить данные любого человека".
Этих фактов на Хабре — несколько штук, плюс куча постов об угоне симок. Как следствие из этих фактов, вытекает гипотеза, которую есть все основания считать верной.
Hardcoin
14.01.2019 14:24-1В том-то и дело, что не путаю.
Факт: "я купил собственные персональные данные в даркнете".
Если это на самом деле факт, можете сказать ник человека, который это утверждал?
из этих фактов, вытекает гипотеза, которую есть все основания считать верной.
Разумеется. Если вы видели этим факты, то вопросов нет. С моей стороны никакого троллинга, я просто не видел комментариев "я купил собственные персональные данные в даркнете". Вы видели? Поделитесь ссылками или никами, пожалуйста.
saboteur_kiev
14.01.2019 15:46Поделитесь ссылками или никами, пожалуйста.
Хорошая попытка, товарищ майор, но нет.
DistortNeo
14.01.2019 13:07Просто факт можно считать доказанным, когда он доказан (извините за тавтологию).
А что такое "доказательство"?
Блин, да даже если они все на зарплате в ФСБ, каким образом это делает гипотезу верной?
Человеку предоставляется несколько подтверждений. Если человек им не верит — это его проблемы. С тем же успехом можно с пеной у рта требовать доказательств, что Земля не плоская.
Пробовали бы в физике так доказывать.
Вообще-то, в физике абсолютно доказанных фактов нет. Есть только гипотезы, для которых не удаётся найти опровержений, и потому они считаются верными (но в будущем это может поменяться).
Hardcoin
14.01.2019 14:56А что такое "доказательство"?
Подобный вопрос не является ключевым для диалога. Я уверен, что мы "доказательство" понимаем примерно одинаково.
Человеку предоставляется несколько подтверждений
Если было представлено, тогда все нормально. Если не сложно — можете дать ссылку на комментарий, где они были представлены? Я, видимо, пропустил.
Вообще-то, в физике абсолютно доказанных фактов нет.
И несмотря на это никто там не примет доказательства в стиле "в физике нет абсолютно доказанного, а провести предложенный вами эксперимент крайне тяжело, сами его проводите. А мы пока будем считать утверждение верным".
Я вижу десятки комментариев в стиле "да всё доказано уже", "другие писали, что сработало" и ни одного "я купил, сработало" или "такой-то написал, что купил и у него сработало". Допускаю, что пропустил. Статью, которую имеет ввиду RussDragon найти не удалось.
Возможно ли, что я заблуждаюсь а сама гипотеза верна? Возможно, конечно. Но я не про гипотезу, а про стиль доказательства. Это явный каскад доступной информации — большой поток сообщений, что доказательства есть, а несогласные их просто игнорируют без предоставления самих доказательств.
Это не пика в вашу сторону, это просто интересное наблюдение для тех, кому интересна тема искажений и кто прочитает комментарий.
Moskus
14.01.2019 17:06+1Вопрос о достаточности доказательства, на самом деле, ключевой, потому что люди с разной мотивацией требуют, на самом деле, разного. Одни требуют заведомо невозможного (намеренно, и знают это), другие — тоже, но не осознают этого (они просто глупы), третьим же доказательства уже не нужны, потому что они уже знают, что купить данные — возможно. В этом, по сути, нет ничего нового и интересного, просто люди исходят из разных мотивов и разного существующего у них уровня знаний.
Hardcoin
15.01.2019 10:28доказательства уже не нужны, потому что они уже знают
Я немного не понял, они "знают" без доказательств или у них доказательства (какого-то уровня) есть, просто они не рассказывают? Вот это ключевое.
А тезис не про возможность купить данные. Я уверен, что по знакомству и за дорого это будет возможно. Не "знаю", т.к. доказательств не видел, но уверен с очень высокой степенью вероятности.
Тезис в другом. Объявление на форуме, где "продают" данные — сработает? Вот по этой условной цене в 20 баксов?
Вот вы "уже знаете", что да, если я верно вас понял. Что можно по объявлению на форуме эти данные купить. Вопрос, на чем основано ваше знание? Вот он ключевой.
Я не пытаюсь вас подловить. Мне даже не очень интересно, продаются ли там данные. Мне интересно именно основа вашего знания. Если вы рассмотрите вопрос "что я знаю и почему я считаю, что знаю это" — какой будет ответ?
Вот лично я знаю 2 вещи. Есть форумы для кидка лохов. И есть скриншот с форума. Такого ли это рода форум или нет — я не знаю.
Moskus
15.01.2019 22:34Когда я пишу «знают», я имею в виду, что это — факт. То есть то, что реально происходило и сведения об этом бесспорны. Никакого другого значения у слова «знать» — нет, все другие значения должны определяться другими словами — «верить», «предполагать», и так далее. Знание о факте (и, соответственно, незнание) не делают кого-то лучше или хуже, просто вот так получилось. Лично мое знание основано на опыте, прямом или косвенном. Про других присутствующих сказать не могу — я не телепат, естественно. И сейчас вопрос не о том, есть ли мошенники, которые берут деньги за подобную информацию и ничего никому не дают — конечно, есть. Вопрос в том, все ли из тех, кто предлагает такую информацию — мошенники. Нет, не все. Может ли «случайный» человек самостоятельно с первого раза верно оценить ситуацию и не попасть на мошенников? Не факт. Поспрашивав знакомых, людей, которым он доверяет — может быть, даже очень. Это простая ситуация черного рынка: есть некий ресурс (данные или доступ к ним), есть люди, которые хотят превратить его в деньги, есть люди, которым этот ресурс нужен. Чтобы спрос встретился с предложением, предложение должно быть доступно. Если сделать его стоящим запредельно — кто это купит? Порассуждайте логически, и ситуация не будет вам казаться такой уж невероятной.
Hardcoin
16.01.2019 01:10Когда вы говорите "они знают" — кого вы имеете ввиду? Ваша попытка рассуждать "логически" вокруг да около, не конкретная, скажите точно. Кто те самые "третьи" из вашего прошлого комментария, они существуют?
Про других присутствующих сказать не могу
Комментарием выше — могли. Сказали, что есть те, кто знают. Да ещё и так подробно описали, что знание — это именно бесспорный факт.
Лично мое знание основано на опыте,
В прошлых темах были скриншоты форумов, где, якобы можно купить данные. Собственно, о них речь. На том форуме действительно можно купить данные за указанную сумму? У вас есть такое знание или у вас его нет? Только честно.
Если у вас есть только знание, что данные в принципе можно купить, то разговор ни о чем. Конечно можно. Любые. Речь о цене и продадут ли человеку с улицы.
не будет вам казаться такой уж невероятной
Хорошо, что вы сами говорите про невероятности/вероятности. Сразу ясно, что речь не о факте, а о предположениях. (Это нормально, просто нужно учитывать).
RussDragon
14.01.2019 03:29Но ведь не так давно была статья, где человек с пруфами показывал, как покупает свои же данные в даркнете. Найдете сами.
batyrmastyr
14.01.2019 14:34Как пишут, в Канаде одному удалось сменить оператора без предъявления паспорта (хотя там потребовался пароль от голосовой почты и кое-что о себе), с мгновенной активацией новой симки. Нужны ли в таких условиях левые сайты?
gecube
14.01.2019 00:14Спасибо, я читал про это.
Но Вы, боюсь, мой комментарий не поняли. Есть 100500 компаний, которые могут не прибегая к помощи опсосов за 7-15 евро, сопоставить мои паспортные данные и мобильный телефон.
И ещё — предложите как с этим бороться. Есть идея пользоваться телефоном, зарегистрированным на жену или другого родственника. Тогда сервисные службы не смогу сматчить номер телефона и паспортные данные. Но против перебора такая схема не устоит.Drebin893
14.01.2019 00:42+1Я бы вообще рекомендовал редуцировать любую идентификацию. Жене и родственникам тоже не за чем себя идентифицировать. Простые сим-карты из известных мест продажи никуда не исчезали.
Для чувствительных мест аутентификации (банки и т.п.), где могут возникнуть проблемы при потере доступа к номеру телефона, можно держать одну идентифицированную сим-карту, но ни в коем случае нигде не светить этим номером.gecube
14.01.2019 01:05Накладно (доп. расходы и просто надо думать про это). Но это действительно плата за безопасность.
Am0ralist
14.01.2019 10:18Простые сим-карты из известных мест продажи никуда не исчезали.
Это оформленные на левого чувака или вообще корпоративные? Предлагаете привязывать к ним аккаунты и банки???
Drebin893
14.01.2019 12:52+1Корпоративные не советую использовать вообще. Там нет нормального ЛК в большинстве случаев, а в корпоративный ЛК вам доступ никто не даст (там данные сразу по всем номерам компании).
«Оформленные на левого чувака» — да, как ни странно, могут быть вполне надежны. В 2018 году были новости, что операторы будут проверять валидность персональных данных, сверяя их с государственными базами. По факту массового отключения номеров не последовало. И да, валидность данных гражданина иностранного государства они проверить никак не могут, так что традиционно оформленные на армянина Артака Авакяна будут работать без проблем.Diam77
14.01.2019 14:28Смс-ка была. Что вам-де нужно посетить офис оператора и засветиться там. Разумеется, никуда не ходил, но стал предупрежден, что можно ожидать чего угодно. Дальше посмотрим.
Drebin893
14.01.2019 15:18Отключать платящих клиентов резона никакого нет. Гораздо проще из аннулированных за неактивность (неплатящих) в течении 90-180 дней сделать выборку неидентифицированных, и отчитаться потом по ним.
Diam77
14.01.2019 15:25Это да. Но до тех пор, пока их контролёры не начнут ловить на живца. Т.е., кстати говоря, делать то, что тут на хабре именуется как раздобыть «ваши доказательства». Полагаю, для них это незаконным являться не будет.
Тогда уже выборкой по мертвым душам не обойтись.
Am0ralist
14.01.2019 16:55«Оформленные на левого чувака» — да, как ни странно, могут быть вполне надежны.
По принципу ошибки выжившего?
Ибо там даже вашего паспорта не надо, чтоб потом перевыпустить симку.Drebin893
14.01.2019 17:18+1Там такая ротация файлов с ПД, на которые оформляются левые номера, что вероятность этого невелика. Плюс, многие сим-карты забиваются вообще на рандомные данные.
В ваших словах тоже есть здравая позиция. Поэтому в одном из сообщений выше я советовал все же держать одну идентифицированную сим-карту, но исключительно для банков.Am0ralist
15.01.2019 10:46Ну вот если есть связи и можно достать надежную левую симку — то согласен. А если просто купить у метро, то с корпоративных там на раз два уводят.
Diam77
14.01.2019 14:26Так так и делаем. Одна идентифицированная не светимая нигде, и…
tvr
14.01.2019 17:05Одна идентифицированная не светимая нигде
«Одно кольцо, что б править всеми...»
И потом она сдыхает по неактивности, ибо вы с неё не совершали платных телодвижений (не светимая же нигде) некоторое время…Diam77
14.01.2019 17:12Я не так выразился, пардон. Это симка для мамы/папы/жены/ребенка, т.е. активно юзается. Плюс там пакетный тариф с ежемесячой платой, в т.ч. за домашний инет. Т.е. не сдохнет она. Но прежде, чем дать этот номер другу — думаю долго, так как для них есть своя. А не светимая — это значит её нет ни в одном инет-магазине, банке, инет-аккаунте. Т.е. всем тем, кому нет доверия по сливу никакого.
tvr
14.01.2019 17:19Это симка для мамы/папы/жены/ребенка, т.е. активно юзается.
Тогда она таки засвечена по полной и привязана к вашему, и не только, графу связей. Т.е. такой вариант не работает/ничем не отличается от обычного юзкейса.
Единственный вариант — да, практически неиспользуемая симка с кучей напоминалок о том, что пора бы позвонить куда-нить в справочную/проверить баланс, торчащая в тупейшей звонилке, не выносимой из дома.Diam77
14.01.2019 17:26Так-то я согласен, но и не ставил цели отвязаться от графа. А только лишь от спама и, по максимуму, от присутствия во всех базах, которые не силовиков. Под «обычным юзеркейсом» же понимаю оставление номера везде, где требуется, в т.ч. с риском спама.
Am0ralist
15.01.2019 10:51Симка в роутере бабушки жены?
Cerberuser
15.01.2019 10:56Это ещё надо найти такую жену, чтобы у неё бабушка знала слово «роутер»…
Am0ralist
15.01.2019 11:00А ей это зачем знать? И да, современные бабушки уже знают, что такое интернет.
Cerberuser
15.01.2019 11:08Чтоб не выкинула случайно бесовскую коробочку с лампочками, очевидно же :)
Am0ralist
15.01.2019 11:20Шёл 2019 год… Люди, которые при президенте Ельцине ещё даже не родились уже даже не только паспорта получают, с многими уже даже сексом заниматься можно без оглядки на определенный закон.
А у вас всё начало нулевых в предрассудках…
Endeavour
14.01.2019 12:59Все время, которое я владею паспортом, я не понимаю одной вещи.
Почему сочетания 10 цифр и нескольких слов достаточно для проведения уймы действий, при этом физическое присутствие настоящего владельца этих данных вовсе необязательно.
По-моему, налицо системная проблема в принятии этих данных как согласия их владельца на что угодно.Drebin893
14.01.2019 13:05+1Мне всегда был интересен несколько иной вопрос: почему в России в качестве внутреннего паспорта до сих пор используется эта убогая книжка советского образца, в то время как во всем мире используется ID-карточка.
DistortNeo
14.01.2019 13:15Потому что причина этому — технологическая отсталость и всеобщее раздолбайство.
Посмотрите, какой бардак творится в налоговой и ПФР. Люди имеют по нескольку ИНН из-за технических ошибок. Люди теряют пенсии из-за того, что система вдруг назначила номер соцстраха другому человеку. Хотели бы, чтобы и с паспортами было так же?Drebin893
14.01.2019 13:33Еще встречал мнение, что виной тому толпа чокнутых, которые вкладывают мистическо-религиозный смысл во введение ID-документов. С их точки зрения, введение идентификационных номеров человека — предвестник не то конца света, не то еще какого цирка с конями.
В России таких поехвавших очень много. Ну, это из тех, кто верит в масонский заговор, мировое правительство, отрицают прививки, ВИЧ и далее по списку. Некоторые заявляют, что СССР еще «юридически существует» и с упоением рассказывают о советском рубле. У других бюст царя мироточит, что сути не меняет.
Но догадываетесь, чей это электорат. С электоратом ссориться как-то не комильфо.abar
14.01.2019 13:51Вот бы сейчас, живя и успешно работая в Европе, волноваться из-за электората России и пытаться спровоцировать срачь по поводу качества внутренних Российских паспартов на техническом ресурсе.
Drebin893
14.01.2019 14:08А что, дислокация что-то меняет?
Мне лично дико неприятно, что Россия и Таджикистан — это единственные на постсоветском пространстве страны, где существует еще эта мерзкая советская книжка, именуемая «паспортом» (во всем мире Passport — это то, что в России называют «заграничный паспорт»).
Россия — очень развитое в плане IT государство. Давно пора избавиться от старых внутренних паспортов, которые содержат бесконечные идиотские «кем выдан», «код подразделения», «сведения о браке», «место регистрации» и прочий маразм. Еще же и штампы туда ставят. Вот заключили люди брак — штамп в паспорт, зарегистрировался официально в квартире — штамп в паспорт. Даже когда выдают т.н. «заграничный паспорт», то ставят штамп в обычный, мол, экий гад, «заграницу» он собрался.
Примерно так же, как в веселые советские годы в гостиницу бы не заселили пару, если в паспорте сведения о браке не совпадают, или вовсе отсутствуют.
Для меня эта книжечка — знаковый символ. Ее форм-фактор создан специально для того, чтобы устроить этот советский липкий контроль над гражданами, чтоб очередной сутулый ведомственный сотрудник эту книжечку перелистывал, внимательно все штампы изучал. «А кем выдан?? ФМС гор. Усть-колхозного, или ФМС г. Усть-колхозного?? а дефис там есть??» Просто дикий маразм в XXI веке.
В Армении отказались от паспортов в пользу биометрических ID. В Азербайджане отказались. В Казахстане отказались. В Украине отказались. В Беларуси внедрение ID-карт происходит в настоящем времени.bydm
14.01.2019 14:59Никогда не понимал, зачем в комментариях обсуждать то, что не имеет отношения к посту.
Вы же, вроде как, за соблюдение законов и правил. Или правила «Хабра» европейцу можно игнорировать?
Вот список того, чего на ресурсе делать не следует:
…
Путать сайт с жалобной книгой
Если у вас проблемы с сотовым оператором, с провайдером интернета или хостинга, или с чем-то ещё, всегда можно связаться со службой поддержки нужного вам ресурса. Или с компетентными органами. Но не следует использовать «Хабр» как рупор, дабы рассказать всем о постигшей вас ситуации.
...
Да, в России всё ещё есть бумажный паспорт. Но ваше его неприятие к теме поста никакого отношения не имеет.Drebin893
14.01.2019 15:06Вы же, вроде как, за соблюдение законов и правил. Или правила «Хабра» европейцу можно игнорировать?
Поздравляю, вы привели именно ту цитату из правил, которой всегда прикрывались модераторы хабра, когда в статьях писали неудобные вещи о коммерческих компаниях, которые имеют на хабре свои профильные блоги. Поэтому в статьях и замазывают названия банков и сотовых операторов.
Да, в России всё ещё есть бумажный паспорт. Но ваше его неприятие к теме поста никакого отношения не имеет.
Никогда не понимал, зачем в комментариях обсуждать то, что не имеет отношения к посту.
Ошибаетесь, имеет самое прямое. Это вишенка на торте в системе, где с персональными данными и приватностью полное болото. Статья отчасти именно об этом.bydm
14.01.2019 15:17Поздравляю, вы привели именно ту цитату из правил, которой всегда прикрывались модераторы хабра, когда в статьях писали неудобные вещи о коммерческих компаниях, которые имеют на хабре свои профильные блоги. Поэтому в статьях и замазывают названия банков и сотовых операторов.
Это лишь в минус модераторам ресурса. Если в статье озвучена не единичная жалоба («У меня украли деньги!»), а конкретные технические подробности, особенно если подробности напрямую связаны с содержанием статьи (как в этой статье, например: схема работоспособна только для определённого оператора), то скрывать названия, боясь за рекламные контракты — верный путь к политике «Первого канала».
Ошибаетесь, имеет самое прямое. Это вишенка на торте в системе, где с персональными данными и приватностью полное болото. Статья отчасти именно об этом.
А какая разница, утекут данные бумажного паспорта или данные пластиковой ID-карты? Вопрос же будет заключаться в том, как на основании нового документа будут идентифицировать личность, а не в том, какую форму он будет иметь.Drebin893
14.01.2019 15:33А какая разница, утекут данные бумажного паспорта или данные пластиковой ID-карты? Вопрос же будет заключаться в том, как на основании нового документа будут идентифицировать личность, а не в том, какую форму он будет иметь.
Без запроса в государственные базы, ID-карта идентифицирует только ФИО человека и дату его рождения.
Если у операторов связи будет только связка ФИО + дату рождения + номер ID-карты, то в случае пробива по номеру телефона злоумышленник сможет получить лишь их. Сейчас же он получает ФИО + дату рождения + номер паспорта (кем выдан и т.п, будем считать это неважными метаданными) + адрес клиента.
И сам форм-фактор принципиально отличается.
ID-карту можно спокойно дать в руки сотруднику любой коммерческой компании, требующей удостоверяющий личность документ, сотруднику банка, сотруднику любой государственной ведомственной службы (например, ГАИ).
Это совсем не одно и то же, чем дать паспорт, который будут внимательно изучать, листать грязными пальцами, оставляя жирные пятна на бумаге и т.п. Пластик же можно просто вытереть.
Информацию об адресе человека и семейном положении считаю приватной. В случае необходимости ее может узнать только компетентный и имеющий на то полномочия сотрудник, осуществив запрос по номеру ID-карты в государственную базу. Желательно еще чтобы эта база не была такой же дырявой, как сейчас все государственные базы (Роспаспорт, ИБД-Р — это тихий ужас).
Остальным совсем необязательно знать, сколько у меня детей, сколько раз я состоял в браке (и состою ли вообще), какой у меня адрес регистрации, и есть ли у меня т.н. «заграничный паспорт».gecube
14.01.2019 15:38+1Я еще хочу добавить пример, что информация о семейном положении может быть в паспорте неактуальной. В бытность, мой отец, когда моя мама с ним развелась, не сходил на суд и как следствие — уже де факто будучи разведенным, у него в паспорте соответствующего штампа не было, т.е. как будто он все еще женат… Как бы залет. Я уж не говорю про внесение детей — это отдельная морока.
bydm
14.01.2019 21:29Так в том и вопрос, юридический, прежде всего, что, как, для кого, при каких условиях будет удостоверять ID-карта и какие данные о пользователе будут затребованы агентом ПД.
Те же паспортные данные от оператора утекают не потому, что у нас паспорт бумажный, а потому, что покупая сим-карту, я заключаю с оператором договор. Юридический документ. Который содержит данные обеих сторон, которые потом достаточны для осуществления диалога, официальной переписки, досудебного и судебного общения. При этом нам, сторонам, не потребуется обращение в ещё один орган для получения контактов друг друга. Да и нелогично такое обращение, договор только между двумя сторонами.
А мои данные утекают уже потом, из подписанного договора. Точно так же утекут и данные, взятые из ID-карты.
Так что простая смена формы проблемы не решит.
Проблема утечки данных — это другая проблема. Если оператору сотовой связи будет достаточно ФИО, даты рождения и номера карты, то проблема будет даже больше. Сейчас для реализации описанной в статье схемы взлома нам потребовался массив данных с чёрного рынка (номер, место и дата выдачи, адрес и т.п.). А если в договоре с оператором будет значится только номер ID-карты, для идентификации меня перед оператором будет достаточно назвать только его? Или будет канал проверки ID-карты? Но новый канал работы — новые «дыры» в безопасности и новые каналы утечки.
Я не утверждаю, что переход на ID-карту невозможен. Но всё же форма документа (бумажная книжка, карта, чип в теле), удостоверяющего личность, и слабая защищённость ПД и их торговля нечистыми на руку сотрудниками имеют слабую связь. И менять форму с мыслью, что этот шаг серьёзно поднимет безопасность ПД — заблуждение, как мне видится.
MaxDamage
14.01.2019 23:10-4Информацию об адресе человека и семейном положении считаю приватной. В случае необходимости ее может узнать только компетентный и имеющий на то полномочия сотрудник, осуществив запрос по номеру ID-карты в государственную базу.
Ай ай ай, бегите поднимайте тревогу, в немецких то документах тоже приватный адрес пишут!
Drebin893
14.01.2019 23:57+1Прежде чем написать глупость, сделали бы хоть минимальный фактчек. Зачем вы привели фото Aufenthaltstitel? Это документ ВНЖ, который выдается приехавшим в страну (учиться, работать) гражданам любых стран, за исключением стран Европейского Союза, Норвегии и Швейцарии.
Адрес на нем пишется потому, что в таком статусе у человека множество ограничений, в том числе сильная привязка к месту проживания. Можно сказать, он под пристальным надзором, в подвешенном статусе, проходит «испытательный срок» перед полноценной легализацией в виде получения гражданства по натурализации.
Настоящий ID гражданина Германии выглядит так:
Разумеется, на ID нет и не может быть никакого адреса. В Европе freedom of movement. Можно без особого труда переехать в любую другую страну с целью проживания, учебы, работы. Документы менять не надо.
Аналог регистрации по месту жительства есть, но он имеет совсем иной смысл. Главным образом — для получения государственной корреспонденции: штрафы, официальные письма и т.п. (пропустишь такую бумагу — сам себе навредишь).MaxDamage
15.01.2019 11:18-1Вообще то я в курсе что это, у меня точно такой же был.
Я такой ответ и ждал, то есть приятную информацию не граждан можно не уважать?
Адрес на нем пишется потому, что в таком статусе у человека множество ограничений, в том числе сильная привязка к месту проживания
А почему же тогда на вклееных визах адреса нет, раз ограничения такие множественные? Это натягивание совы на глобус. Какая привязка? Где хочешь там и живи, никаких проблемDrebin893
15.01.2019 13:08+1Виза — совсем другая сфера юридического основания пребывания в стране. Зависит конечно еще от типа визы, но адреса на ней быть не может хотя бы потому, что человек ее получает заранее, до въезда в страну.
Статус ВНЖ подразумевает, что человек проживает в стране в одном месте, платит налоги, работает, учится (либо учится и работает, не превышая допустимого числа рабочих часов).
Это очень подвешенный статус, во всяком случае в Германии.MaxDamage
15.01.2019 14:55Ну слушайте, не надо в непонимание играть, понятно же, что я про то же самое разрешение на пребывание пример которого я привел. Виза которая шенгенская всегда вклеивается (ну может за каким то очень редким исключением). А вот разрешение на пребывание может быть (еще пару лет) либо карточкой, либо вклеено в загран. И на разрешении которое карточкой вы говорите
Адрес на нем пишется потому, что в таком статусе у человека множество ограничений, в том числе сильная привязка к месту проживания
А на том разрешении на пребывание которое вклеивается в паспорт и выполняет точно ту же самую функцию, адреса почему то нет. У тех, кому земля не сподобилась выпустить пластиковое разрешение а вклеила бумажку в паспорт «сильная привязка» пропадает? Я же говорю, это натягивание фактов.
stanislavkulikov
14.01.2019 19:51Так уже с 2011 года как существует УЭК — универсальная электронная карта. Карта совмещала в себе функциональность платежного средства, удостоверения личности и других важнейших документов гражданина.
Выдавалась желающим по заявлениям и за эти годы было выдано 147 тыс. карт. Но первый эксперимент решено считать неудачным (по необъяснённым причинам). И теперь (ну как теперь, 3 года назад) стартовал проект Единого Электронного Паспорта, которые будут выдавать по заявлениям с 2021 года, а массовая выдача планируется с 2024.Drebin893
15.01.2019 00:07Именно против УЭК шизофреники создали активную кампанию «русь против чипизации» с клоунами и цыганскими плясками. Можно погуглить перлы про «отказ от документов по религиозным причинам». Они и сейчас от ИНН и СНИЛС отказываются, и что самое дикое, такая функция и правда существует, т.е. заявления в такой формулировке всерьез рассматриваются и одобряются.
Как будут обстоять дела с новым проектом Единого Электронного Паспорта, покажет время. Но попкорном можно запасаться уже сейчас.
Все же не понятно, почему так долго с этим затягивают, до 2024 года.stanislavkulikov
15.01.2019 12:05+1Так а потому что эта новая карта будет завязана на платформу цифрового профиля гражданина, которую вот только начали пилить.
Вот статья недавно о ней была habr.com/post/432862
На карте будет просто ID в этой платформе/
valery1707
15.01.2019 11:47Так вроде УЭК был введен не в 2011, а в 2013.
И с января 2017 выпуск и выдача прекращены. Да, есть слухи что Сбер перезапустит проект УЭК, но это только слухи.stanislavkulikov
15.01.2019 12:09Какие же слухи, всё давно утверждено. В оригинале новости не нашёл, но вот, довольно авторитетный источник.
valery1707
15.01.2019 12:24В том виде в котором УЭК существовал с 2013-го года он всё же умер, сейчас разрабатывается новая реинкарнация с названием Платформа цифрового профиля гражданина, прототип которой планируют запустить к концу 2019. Про неё же, как я понял, и в вашей новости пишут.
gecube
14.01.2019 13:15Тут еще проблема всплывает. Номер паспорта — это по сути номер бланка, на котором он напечатан. И он хоть и уникален, но может меняться. Причем весьма часто (хоть каждый год паспорт меняй, только пошлину плати).
Те же ИНН и пенсионного («СНИЛС») являются уникальными идентификаторами человека на протяжении всей жизни. И не меняются. Даже в экстренных случаях (смена имени, уточнение даты и места рождения, смена пола....)DistortNeo
14.01.2019 13:19Номер паспорта — это по сути номер бланка, на котором он напечатан. И он хоть и уникален, но может меняться
Не-а. Вполне возможно существование нескольких людей с одинаковыми номерами паспортов, но выданных в разных отделениях. Единичные случаи имеются. Собственно, это одна из причин, почему с номером паспорта всегда требуют, кем и когда он был выдан.
Те же ИНН и пенсионного («СНИЛС») являются уникальными идентификаторами человека на протяжении всей жизни. И не меняются. Даже в экстренных случаях (смена имени, уточнение даты и места рождения, смена пола....)
Вполне себе меняются из-за ошибок в системах. И пока такие случаи довольно часты, ни о какой ID-карте речь идти не может.
gecube
14.01.2019 13:23извините, про указанные Вами случаи не в курсе. Я же простой обыватель :)
и смотрю с чисто бытовой точки зрения.
Если расскажете подробнее, то, думаю, это будет полезно всем.DistortNeo
14.01.2019 13:31А чего рассказывать? У тёщи два разных ИНН в двух регионах — это совсем частая ситуация. У налоговиков вообще туго с базами: они почему-то не могут сами сказать, сколько налогов я им заплатил, до сих пор приходится справки 2НДФЛ с работы брать.
Про ПФР:
regnum.ru/news/2537265.html
Про паспорта:
echo.msk.ru/blog/kanakovaek/1514936-echogecube
15.01.2019 01:37Про паспорта и ПФР — желтизна-желтизной.
Один кейс (ПФР) можно объяснить недобросовестностью сотрудников. В принципе, это из того же разряда, что если на Ваши паспортные данные «левый» человек возьмёт кредит.
Про паспорт — очень много но, но если действительно бланк паспорта не является уникальным номерным документом, то это очень страшная вещь. Скорее просто в цифре ошиблись или… Паспорт подделка. Сложно комментировать не зная сути ситуации.
Про ИНН в разных регионах я скорее поверю. Но все равно у нее должны быть оба документа с гербовой печатью о назначении ИНН физлицу.
gecube
14.01.2019 13:16Полностью поддерживаю.
Но нужно разделить все сервисы, которые получает потенциальный пользователь, по масштабам разрушений, если была украдена или подделана личность.
Условно — звонок в техпод провайдера от моего лица другим лицом — ничего страшного, ну, край без интернета посижу.
А вот с банком и моб. операторами — это может привести к гораздо более серьезным финансовым проблемам.
Diam77
14.01.2019 14:31при этом физическое присутствие настоящего владельца этих данных вовсе необязательно.
Обязательно. Но проверить это потомнельзятрудно. Представим себе гипотетический допрос сотрудника того же ОПСОСа. Приходил такой-то? Приходил. Показывал паспорт? Показывал. Чем докажете? Вот, сняли ксерокопию. А чем докажете, что это именно он был? Глазами смотрели, он был.gecube
14.01.2019 15:05Видеозапись с места. Банки — так вообще уже ввели требования, что нужно с веб-камеры снять фото человека, если он кредит берет.
UnclShura
13.01.2019 23:09+1А вы считаете это не вина ВК, что такое возможно? Все замарались. Если канал подтверждения по смс ненадежен, его надо или помериться как ненадежный и предложить по дефолту что-то другое или не использовать вовсе.
Revertis
13.01.2019 23:19Paranoid mode on:
Что-то другое не привязано к вашим паспортным данным. А именно это и есть цель привязки телефона, скорее всего.Drebin893
13.01.2019 23:32+5Привязка номера телефона к социальным сетям — требование государственных структур РФ.
Спасибо им за это! Ну и всей иерархии (от владельцев до младших сотрудников) ресурсов с многомиллионной аудиторией, которые имеют все возможности влиять на общественное мнение, но послушно выполняют все требования, двойное спасибо.feyd12
14.01.2019 22:14-1А что плохого конкретно, была простая авторизация, стала двухфакторная опционально. Причём, сами же пишете, что симки купить проблем все ещё нет.
Drebin893
15.01.2019 00:23Это лишь звено в цепи. Я говорил гораздо более широко.
Отмотать на рубеж 2011-2012 годов, и ведь история могла пойти по совсем иному пути, если Паша Дуров с единомышленниками не стали бы поддаваться на «предложения, от которых невозможно отказаться», а сделали бы так, чтобы преобладающая (чуть ли не вся) многомиллионная аудитория соцсети стала главным протестным электоратом.
Тогда даже механизмов блокировки не было. А попытки блокировать самый посещаемый ресурс в рунете могли бы вызвать еще большую бурю протеста.PsyHaSTe
16.01.2019 15:56Насколько я помню, у Паши не было особых возможностей отказаться.
А вот с безвременно ушедшим Пашей и как следствие без телеграма как бы мы жили это интересный вопрос. Полагаю, не очень хорошо. Какие-то жалкие крохи сели бы та токс, но на этом бы все и закончилось.
x67
14.01.2019 08:21Сейчас очень легко скомпрометировать эти данные даже ничего не сделав. Давно пора отказываться от них как от секретного ключа без проверки подлинности доков и юридически обоснованной связи представителя этих данных с субъектом
DistortNeo
14.01.2019 12:21Сейчас почти любой несанкционированный доступ осуществляется с помощью методов социнженерии, а не уязвимостях в софте.
simonov_o
13.01.2019 23:17+1Опять Билайн впереди планеты всей. Похоже, что пора менять оператора. Написал в службу поддержки с ссылкой на эту тему, посмотрим, что ответят.
ValdikSS
13.01.2019 23:19-3Зачем что-либо замазывать на скриншотах? Чем вы руководствовались, когда это делали?
Drebin893
13.01.2019 23:25+4Чтобы благодаря близкому сотрудничеству замазанного оператора и НЛО, статья не улетела туда, где не светит солнце.
Cerberuser
14.01.2019 05:37Спасибо, автор. Ваш ответ сильно меняет восприятие обсуждения парой веток выше. Вернее, не сам ответ, а определённые его метаданные.
ValdikSS
14.01.2019 10:01Drebin893 — не автор статьи. Хотелось бы, чтобы на вопрос ответил php_freelancer.
bydm
14.01.2019 09:52+1Я понимаю замазанные номер и паспортные данные. Это логично.
Но замазать название сотового оператора? И не замазать при этом названия других операторов?
Вся схема этого взлома основана на двух основных моментах:
1. Возможности приобретения чужих паспортных данных.
2. Уязвимости в службе поддержки конкретного оператора, которые позволяют через чат «Вконтакте» включить переадресацию для абонентского номера.
Информация о том, какой оператор имеет в безопасности такую дыру является ключевой для статьи! Тем более, для технической статьи на техническом ресурсе. Кроме того, такая информация, как минимум, позволяет другим читателям проверить работоспособность данного метода, хотя бы используя паспортные данные того лица, кто согласен на эксперимент. Например, я могу договориться с супругой/другом/коллегой, использовать их паспортные данные и свой номер телефона и проверить работоспособность схемы.
Если у нас технический ресурс и техническая статья, то в ней должна быть вся информация, чтобы другие могли её верифицировать. Включая явное указание названия оператора. А без него — это развлекательная статья для развлекательного ресурса. Как я могу быть уверенным в том, что чат с замазанным названием оператора происходил действительно с сотрудником оператора, а не с «левым» аккаунтом?
Близкое сотрудничество НЛО с оператором — это вообще смешно. «Он нам деньги платит, и мы про него плохое не пишем», — так что ли? Так такому НЛО самое место на «Первом канале», там такое НЛО любят. А техническому порталу с таким НЛО лучше в помойку.Drebin893
14.01.2019 12:54+1Близкое сотрудничество НЛО с оператором — это вообще смешно. «Он нам деньги платит, и мы про него плохое не пишем», — так что ли? Так такому НЛО самое место на «Первом канале», там такое НЛО любят. А техническому порталу с таким НЛО лучше в помойку.
Добро пожаловать в реальность. Правила игры никто не отменял.
Hardcoin
14.01.2019 13:57Варианта всего два. Билайн или Теле2. Из-за того, что вы не знаете, какой из них — сразу на помойку?
Как я могу быть уверенным в том, что чат с замазанным названием оператора происходил действительно с сотрудником оператора
Вот ниже скриншот от Мегафона. Вы уверены, что диалог происходит с сотрудником Мегафона? Если да, у меня для вас плохие новости. Можно сделать такой чат с другом, а потом поменять ник или текст через development panel.
Верить вы можете только с определенной вероятностью. 100% доказательства вряд ли возможны в данном случае. Не у нотариуса же заверять диалог?
bydm
14.01.2019 15:39Не сразу на помойку, разумеется.
Но лично у меня положительное отношение к статье сразу снижается, когда вижу такие вот сокрытия.
Всё же, я надеюсь, «Хабр» — ресурс технический. Для технической статьи хорошо, когда в ней представлена вся информация, затрагивающая проблему. Особенно, когда эта информация явно известна. Это позволяет читателям проверить все предоставленные факты, провести исследование самому, возможно, опровергнуть предоставленные сведения.
А здесь же ключевая информация, имеющая непосредственное отношение с схеме взлома страницы «Вконтакте», скрыта. Зачем? Это снижает ценность статьи, ведь это лишь благодаря «дыре» конкретного оператора взлом возможен. А вместо использования информации из статьи я должен угадывать оператора. Это похоже на статьи в газетах, где «по информации из анонимных источников». Звучать может правдиво, но информация будет нести и меньшую степень доверия, и требовать ещё большей верификации.
Occama
14.01.2019 15:41Но замазать название сотового оператора? И не замазать при этом названия других операторов?
У меня такое чувство, что это было очень пошло выполненное свидетельство канарейки. То есть как бы не говорится о том, что сливает конкретный оператор, не называется, что это за оператор, но в итоге все всё поняли. Несмотря на то, что к пчелайну отношусь не очень, но это выглядит заказухой какой-то. (Нет, бритва Хэнлона работает, я с лёгкостью поверю, что это действительно так, но лучше бы уж автор контрпримеров от других операторов не приводил, а то слишком уж подозрительно выглядит)tcapb1
14.01.2019 15:45Я в комментах чуть ниже кидал аналогичную историю с МТС. Понимаю, что такое может выглядеть подозрительно, но история распространённая и уже подтверждённая другими комментаторами. Думаю, это не тот случай, когда надо умножать сущности.
UksusoFF
13.01.2019 23:21Регистрация через мобильник вообще зло.
Несколько раз оформлял временные симки официально, каждый раз к ним был привязан чейто профиль в ВК.
И это при том что спустя три месяца не использования оператор спокойно продает твой номер другому.simonov_o
13.01.2019 23:43Операторы (МТС, Билайн) раньше только через полгода (180 дней) деактивировали номера, если они не пополнялись и не использовались. Неужели сроки сократили до трёх месяцев?
UksusoFF
14.01.2019 07:34Мегафон мне через три месяца отрубил. Причем входящие звонки не считаются. Должен быть хотя бы один исходящий или СМС.
Diam77
14.01.2019 14:34Да, сократили. В офисе Теле2 мне прямым текстом сказали: цель оператора- выручка с симки. Нет выручки — нет симки.
В общем, у меня стоит напоминалка — один раз в квартал отправить одну смску со всех карт.
Drebin893
13.01.2019 23:23+6Полный идиотизм, что такую важную функцию, как переадресация вызова, можно подключить просто написав в социальной сети представителю оператору связи. Впрочем, сохраняется вариант найти сотрудника, имеющего доступ в информационную систему оператора, который может помочь с таким делом: кто ищет, тот найдет. Эти, с позволения сказать, «услуги» на черном рынке есть в изобилии, но стоят достаточно дорого в зависимости от типа работ.
Ну а паспортные данные, на которые зарегистрирована сим-карта российского оператора, раздобыть вообще не проблема, здесь и стоимость работы минимальная, и самая «услуга» самая ходовая.stardust1
13.01.2019 23:50-4У меня такое ощущение, что Вы как будто вчера родились. Вы только узнали, что можно купить информацию о вас? Или что есть люди, которые недоборосовестно выполняет свою работу?
Drebin893
14.01.2019 00:29+1И действительно, ведь все мы не вчера родились. Зачем говорить об извечных проблемах, поговорить что ли правда не о чем больше?
Давайте хит сезона, фильм Т-34 лучше обсудим.Peacemaker
15.01.2019 17:17Давайте хит сезона, фильм Т-34 лучше обсудим.
Наброшу для затравки — «Жаворонок» лучше. =)
dartraiden
14.01.2019 00:33+1В 2016 году национальный институт стандартов и технологий США (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации, но и по сей сервисы и пользователи используют возможность получить SMS/принять звонок, как основной способ подтверждения «да я это, я». Как минимум, включите использование одноразовых для входа в аккаунт.
valera5505
14.01.2019 11:39И как это поможет, если коды всё равно могут приходить на телефон?
DistortNeo
14.01.2019 12:27Именно это и поможет, потому что коды не смогут приходить на другой телефон.
dartraiden
14.01.2019 16:41Если включена двухфакторная авторизация, то сбросить пароль по SMS уже нельзя, об этом написано в подсказке (наведите на знак вопроса).
При этом, код двухфакторной авторизации всё равно можно получить по SMS, но чтобы его запросить, надо знать пароль. А пароля злоумышленник, описанный в этой статье, не знал.
Резюмируя:
— если двухфакторная авторизация выключена, то для входа в аккаунт достаточно либо знать пароль, либо перехватить звонок робота на телефон.
— если двухфакторная авторизация (неважно, с приложением TOTP, с получением второго фактора по SMS, с получением его пушами из приложения VK) включена, то для входа нужно знать пароль и перехватить SMS.
Chupaka
14.01.2019 00:43+2Почему в комментариях до сих пор не проскочила мысль о том, что ВК из двухфакторной аутентификации/авторизации сделал какую-то полуторафакторную, разрешив одному из факторов влиять на второй? Вот если бы пароль менялся только, например, письмом на почту — тогда надо было бы в общем случае компрометировать оба фактора. А вот с такими безопасниками и маркетологами 2FA становится чем угодно кроме того, чем оно должно быть.
tcapb1
14.01.2019 02:28В этом случае при потере доступа к почте в свой аккаунт было бы никак не войти. Так как ВК — сайт для самых широких слоёв населения, то потеря доступа к email — думаю довольно частый случай. Надо же как-то в этом случае свои аккаунты восстанавливать?
Chupaka
14.01.2019 09:05+1Для этого есть регистрация по номеру телефона. И в параллельной вселенной для нерукожопых желающих есть возможность к ней подключить второй фактор в виде какого-нибудь Google Authenticator, например. Но делать из двухфакторной аутентификации обычную регистрацию через СМС и продавать под видом двухфакторной — это попахивает.
dartraiden
14.01.2019 16:55-1Вот если бы пароль менялся только, например, письмом на почту — тогда надо было бы в общем случае компрометировать оба фактора.
Если включена 2-факторная авторизация, то пароль меняется только письмом на почту (либо отправкой личного сообщения на устройство, где пользователь залогинен).
Поэтому мысль должна быть другая — почему топикстартер поленился её включить.
JTProg
14.01.2019 01:42+1Довольно интересное название статьи. А сама суть лишь о том, что надо найти скан паспорта жертвы. Ну да ладно. Простой и безобидный пример на основе отечественной «корпорации добра» — и почему я не удивлён?!
У меня наверное вопрос даже не столько к автору статьи, сколько в целом к народу что ли: сколько отечественных и не очень сервисов (соцсети, мессенджеры, банкинг, что_угодно) используют аппаратные токены как второй фактор?
На территории Рунета я видел (не искал в принципе, а так наткнулся), что можно аппаратный второй фактор использовать на портале Госуслуг. Гипотетически на сайте «большого зеленого банка». А где ещё?Vilgelm
14.01.2019 10:04+1В случае с банками использование аппаратного токена довольно частый сценарий если речь идет про юрлиц.
Archon
14.01.2019 12:03Сравнительно недавно в «маленьком зелёном банке» на букву «А» аппаратные токены использовались даже для физлиц. Теперь вроде бы уже не используются, но возможность подтверждать операции кодами со скретч-карт, судя по информации на сайте, всё ещё есть.
Такие скретч-карты — это полноценный второй фактор авторизации, который практически невозможно взломать, разве что только утащить её целиком. Причём в отличие от чека с кодами из банкомата, её нельзя по-тихому сфотографировать и положить обратно. Примерно так выглядела моя, когда у меня ещё был договор с этим банком.
stanislavkulikov
14.01.2019 20:15Аппаратные токены используются почти во всех банках, но только для юриков. Но надо понимать, что это атавизм, а для обслуживания физ.лиц принято использовать новые технологии. Поэтому сейчас во многих банках, в качестве второго фактора можно использовать одноразовые сеансовые ключи (по сути то же самое, но генерируется не железякой, а приложением на телефоне).
Ну и старые-добрые скретч-карты никуда не делись.
FlamyXD
14.01.2019 01:59Кстати можно сказать спасибо GDPR за возможность почти на любом веб-сайте иметь возможность скачать архив со всеми данными об аккаунте без написания скриптов.
Am0ralist
14.01.2019 10:23Ну, в вк эта операция занимает пару часов (от обращения до генерации архива) и не факт, что её можно провести сразу после восстановления пароля (автору это надо было проверить).
Так что если быстро реагировать… с другой стороны, операции можно проводить ночью, когда никто не среагирует.php_freelancer
14.01.2019 10:35Так я ж и не говорю про функционал скачивания архива со всеми данными, я говорю про самописный скрипт, который скачает все самостоятельно в нужном формате. С вопросом скорости можно даже заморочиться, я недавно писал системку, которая «обходит» блокировку на > 1 запроса в секунду к вк. Суть такова, что программа делает запросы с разных серверов под одним и тем же аккаунтом (под одним ли токеном — не знаю, но не суть). Были проблемы с отправкой сообщений, постов и т.п., но с получением чего-либо — еще ни разу. 5 серверов с разными IP = как минимум 5 запросов в секунду можно делать спокойно, грубо говоря. Страницы не банили.
Am0ralist
14.01.2019 10:55Ну а я отвечал пользователю именно про все данные об аккаунтах, которые сайты теперь выдают из-за GDPR.
FTOH
15.01.2019 13:14«обходит» блокировку на > 3 запросов в секунду к вк
Исправлено. Пруф
Суть такова, что программа делает запросы с разных серверов под одним и тем же аккаунтом (под одним ли токеном — не знаю, но не суть). Были проблемы с отправкой сообщений, постов и т.п., но с получением чего-либо — еще ни разу. 5 серверов с разными IP = как минимум 5 запросов в секунду можно делать спокойно, грубо говоря. Страницы не банили.
Ограничения идут на токены от одного приложения. Если получить от разных, то у каждого будет свой лимит на запросы. Утащил отсюда
Как-то делал запросы к вк, около 400 штук в секунду с одного аккаунта и одного ip-адреса. Съедало около 15Мбит исходящего трафика и 97Мбит входящего. Около 30-60 минут такая система проработала, когда страница получила вечную заморозку (это была не первая замарозка)
markikokik
15.01.2019 13:14А каких-то общедоступных решений для выгрузки нет, кроме упомянутого скачивания архива? Ничего работоспособного не смог обнаружить. Полгода назад пришла мысль, что неплохо бы себя обезопасить на случай блокировки и забэкапить профиль. Но стандартная выгрузка включает в себя очень мало — все материалы типа фото и аудио представлены ссылками на сайт, а смысл в первую очередь в том, чтобы не потерять переписку и ценные кадры, которые могут быть в единственном экземпляре, в том числе и в переписках. Поэтому даже начал делать софтинку, которая бы выкачивала целиком, потом бы пришлось руками пройтись и лишние картинки повыкидывать, но количество свободного времени не оставляет надежды закончить раньше, чем в течение года.
arelay
14.01.2019 03:37+2Статья — полная кальяка с видео, где блогер разбирает эту ситуацию, возможно эмоционально и не компетентно, однако стоит указать источник.
Даже фразы одни и те же:"что он успеет сделать за 2 минуты"
Пруф, оригинал видео удалили.php_freelancer
14.01.2019 09:39+1И?) Способ уже много где гуляет по сети, информация стара как мир. Мотивация и весь материал был взят с других мест и опять же, я не говорю, что все это придумал я (да и тут нечего придумывать).
forum.yurclub.ru/index.php?showtopic=382172 — вот, как минимум. Да и погуглить можно, как угоняют номера — найдется информация и за 2016 год.
Если вы про канал GERASEV, то тут я с вами не соглашусь. Видео я тоже видел, даже хотел вставить его сюда, как пример того, что данный способ получения доступа к чужому аккаунту афишируют блогеры и теперь любой нынешний 5-классник сможет воспроизвести все эти действия и получить доступ к аккаунту чужого человека.
Единственное что, переписки в видео все ненастоящие. Блогер как минимум утверждает, что практически все мобильные операторы недобросовестные, на деле оказался недобросовестным только один. И рекламирует он фигню какую-то.unel
14.01.2019 12:42Думаю, тут загвоздка не в операторе связи, а в конкретном человеке, что вам отвечает: кто-то может откликнуться, если Ваша история покажется убедительной (или у него недостаточно опыта), а кто-то ответит по шаблону, что так нельзя
ebragim
14.01.2019 03:48-1Благодаря таким статьям неплохо подскакивает доход разводил в этом вашем «даркнете». Вы серьёзно думаете, что там есть хотя бы 1% людей, реально продающих чьи-то персональные данные? Или это такой способ поднять себе прибыль?
Да откройте уже глаза, и хватит вешать на уши лапшу про «в даркнете можно купить всё». Нет, нельзя. Это способ прикинуться злобным хацкером или продавцом информации, чтобы доверчивые лошки, которые хотят сделать что-то нелегальное, понесли вам свои деньги, да ещё и в биткоинах. Количество «форумов с историей в 10 лет, отзывами и гарантами из самых уважаемых членов сообщества» плодится с огромной скоростью, и естественно все берут предоплату — гаранты же.Moskus
14.01.2019 06:00То, что вокруг этого есть множество мошенников, которые играют на глупости, не означает, что купить (а иногда — и получить бесплатно) личные данные — нельзя. Потому, это все что вы написали — это straw man argument, он же — подмена тезиса.
agat000
14.01.2019 08:04Развод — разовый доход.
Честная работа — постоянные заказы, постоянные клиенты, развитие бизнеса. Понимаете?ebragim
14.01.2019 16:52-2Развод — «лохов много», не нужен ресурс.
Честная работа — ищи клиентов, создавай репутацию, рискуй вполне реальным сроком, ещё и административный/хакерский ресурс нужен.
Понимаете?
Клиент, который хочет получить что-то нелегальное, никогда не пойдёт жаловаться. Отзывов о качестве работы вы никогда не получите реальных, потому что это будут такие же анонимы из сети (что, как я уже писал, подделывается легко), либо ваши знакомые — а много у среднестатистического гражданина знакомых, покупавших чужие персональные данные или что-то подобное?
Я действительно не понимаю, как можно быть такими наивными и верить во всю эту чушь, уровня «я хацкер, мне надо обналичивать ворованные кредитки, переведи мне половину стоимости товара, а я ворованной кредиткой его оплачу и через камеру хранения тебе передам». И форум с 8 годами истории и полумиллионом постов, якобы подтверждающими правоту «хацкера».
Такие же площадки я видел, связанные с покупкой/продажей данных, взломом аккаунтов, продажей документов… Это просто способ развода. Мне даже какой-то спам прелагал развёртывание такого сайта «под ключ».Drebin893
14.01.2019 17:23+1Вы очень наивный человек.
я хацкер, мне надо обналичивать ворованные кредитки, переведи мне половину стоимости товара, а я ворованной кредиткой его оплачу и через камеру хранения тебе передам
Это называется «заливы». Основная движуха вокруг них происходит на совсем других ресурсах. И к сведению, с наличкой и камерами хранения никто уже давно не работает.
nidalee
15.01.2019 00:28+2продажей документов… Это просто способ развода.
Что если я скажу, что покупал документ?
agat000
15.01.2019 11:57+1С таким отношением к работе и бизнесу… Ну да, только «на хапок» работать.
К счастью (я не про сабж, а про нормальную работу), большинство относится серьезнее к своему делу.
У нас, в свое время, шеф покупал каждый год диски с базами ОМС, ГАИ и 09. У надежных качественных поставщиков. Тогда многие покупали. Постоянный спрос, постоянные клиенты, постоянный доход продавцов. Хоть они и жулики, по сути, но работали надежно.
nanshakov
14.01.2019 06:54Интересно каким такими скриптом вы все скопируйте с аккаунта при довольно большом ограничении на лимиты вызовов апи.
ne555
14.01.2019 09:04+2Первое, что попалось
codeby.net/threads/python-dump-vk-foto-dokumenty-dialogi-vlozhenija.66038
github.com/hikiko4ern/vk_dump
Оно?
ledocool
14.01.2019 08:27Не понимаю почему люди вообще считают двухфакторную дыру безопасностью.
Это можно считать безопасностью только если мобильник является дополнительным условием для логина, но никак не позволяет восстановить аккаунт. А так получается что вы отдали ключи от квартиры цыганам, а потом удивляетесь что еда из холодильника пропала.
simonov_o
14.01.2019 09:58Получил ответ от службы поддержки. Действительно, у Билайна огромная дыра в этом направлении и широкое поле деятельности для мошенников. Ниже скриншот ответа. Выводы делайте сами.
trublast
14.01.2019 12:26То есть чтобы закрыть дыру лично для себя — нужно прийти с паспортом в офис… Удобно.
dididididi
14.01.2019 10:05Действительно легко))) Только нужно получить доступ к телефону и паспортным данным))) Есть еще более простый способ, ловим пользователя, вставляем ему термокриптоанализатор -> «Парам! ВконтакТ взломан!»"
Ну а если серьезно, это не вопрос безопасности, а скорее вопрос юзабилити, можно устроить конечно так, чтоб взломать ее было невозможно, личное присутсвие пользователя, нотариальное заявление рассматриваемое в течение 30 дней и т.д., но пользователи тогда просто побегут из такой сетки, потому что достаточно один раз забыть пароль, чтоб лишиться аккаунта навсегда.
Тот баланс между юзабилити и взломостойкости, который выбрал ВК кажется ему оптимальным, вам не кажется и что?
ВК, отнюдь не сетка, которая позицинирует себя сверхнадежным хранилищем конфиденциальной информации и надо быть весьма странным, что хранить там что-то секретней меню на НГ.
Silvarum
14.01.2019 11:56Только нужно получить доступ к телефону и паспортным данным
Если у Вас есть телефон, то считайте паспортные данные уже всем известны. Потому как у всех операторов базы абонентов утекают с завидной регулярностью. Да что там, даже в банках утекают.
А проблема безопасности тут в том, что один фактор аутентификации можно сменить с помощью другого. В результате получаем прямо противоположный результат — не дополнительный слой защиты, а ещё один вектор атаки.
Правильными вариантами восстановления было бы использование резервных кодов или почты:
1. Человек забыл пароль/потерял тел.номер. Нажимает кнопку восстановить.
2. Человек вводит тел.номер/пароль (тот фактор, который не забыл) и резервный код, или получает код/ссылку на почту.
3. Меняет забывший фактор.
По сути имеем три фактора и для замены одного из них надо иметь доступ к двум другим.tcapb1
14.01.2019 12:03Резервный код как правило ещё проще забыть, чем пароль. Если он с подсказкой (типа вопрос-ответ), то злоумышленник может его подобрать.
Silvarum
14.01.2019 12:28Возможно, но тогда буратиной будет пользователь, а не сервис, отдавший аккаунт левому человеку.
Секретные вопросы вообще бред и черезмерно подверженны соц.инженерии. К примеру, вопрос «Как зовут Вашего питомца?», и в профиле в фотках «смотрите какой у меня милый котик Борис». Согласитесь, на «секретный» вопрос ну никак не тянет. Если таки заставляют их назначать, то лучше писать в ответ рандомные последовательности.tcapb1
14.01.2019 14:35Проблема в том, что надёжной системы аутентификации для массового пользователя (который может забыть пароль и потерять телефон) так и нет. Если делаем полноценную непробиваемую 2FA, то при утрате любого из факторов аккаунт становится потерянным. А даже симку порой не так просто восстановить. В Мегафоне мне говорили обратиться в тот регион, в котором я симку получал. Если позволяем восстановить одну часть 2FA по второй части — получаем истории как в этой статье.
Например я, хоть наверное и более технически подкован, чем средний гражданин, всё равно время от времени и забываю пароли и теряю телефоны.Silvarum
14.01.2019 14:57Согласен, нет удобной и надежной системы. Но тут вопрос, что лучше — просто потерять доступ к аккаунту, или дать доступ злоумышленнику. Я бы лично предпочел первое и, возможно, пойти на некоторые неудобства при восстановлении.
К тому же по той схеме выше можно восстановить доступ при потере одного из факторов (если не потеряли доступ ещё и к почте).
gecube
14.01.2019 19:39В Мегафоне мне говорили обратиться в тот регион, в котором я симку получал.
это Вы сейчас серьезно? Я что-то не хочу проверять на своем опыте… т.к. именно так и живу (симка из одного региона, а фактически в другом, а ехать 700 км из-за идиотизма оператора не хочется).
p.s. что-то мне подсказывает, что крепостное право в России все еще не отменили.tcapb1
14.01.2019 20:10Я только в одной точке пробовал, может в каком-нибудь центральном офисе и сделали бы. Но в Москве мне предложили или ехать в свой регион или делать новую симку на новый номер.
Wijey
15.01.2019 14:17В Теле2 аналогично, хотел старую симкарту поменять на новую, чтоб была поддержка 4G — «только в регионе, где приобретали».
gecube
14.01.2019 19:38К сожалению, в этом случае приходится писать эту рандомную последовательность в секретный оффлайн-блокнотик, который очень легко забыть в секретном сейфе у себя дома. А если не секретная рандомная последовательность, то какой же это секретный вопрос??? Я уж не говорю о том, что некоторые сервисы предлагают выбрать секретный вопрос из заранее определенногос списка (отлично, мы уменьшили энтропию до нескольких битов) и его ТОЖЕ нужно правильно выбрать. Мазохизм.
dididididi
14.01.2019 14:16Взломостойкость должна соотвествовать конфиденциальности. У ВК есть сервис восстановления по телефону и паспортным данным. Автор добыл и то и другое и зашел в аккаунт.
Если ты решил использовать ВК, как хранилище секретной информации прими меры к тому, что один из факторов доступа будет чуть более секретный. Например, зарегай его на телефон, который знаешь только ты, симку спрячь в сейф и доставай только, когда надо восстановить доступ.
Делать многофакторную защиту на соцсетку глупо.tcapb1
14.01.2019 14:29Только вот симка автоматически будет деактивирована по неактивности через 3 месяца, и номер перейдёт к другому абоненту. Не говоря уже про то, что номер придётся регистрировать не на себя. Если по номеру телефона можно узнать паспортные данные, вполне допускаю, что и по паспортным данным можно узнать все номера телефонов.
По поводу секретности данных — думаю, на любого пользователя, который активно пользуется ВК на протяжении нескольких лет можно накопать много интересного. Да даже если не копать, можно заняться выпрашиванием денег от лица взломанного например. И не говорите, что на такое больше никто не ведётся.
Silvarum
14.01.2019 14:35Взломостойкость должна соотвествовать хотя бы общепринятым нормам. Данный сервис восстановления им не соответствует. ВК, кстати, паспортные данные в данном случае не использует, только телефон. Это оператор облажался с переадресацией звонков, аутентифицируя пользователя только по паспортным данным.
Например, зарегай его на телефон, который знаешь только ты, симку спрячь в сейф и доставай только, когда надо восстановить доступ.
Как минимум этот номер будет знать ещё оператор с постоянно утекающими базами.
Делать многофакторную защиту на соцсетку глупо.
Да даже если и так, раз уж ВК решил её сделать, то пусть делает по всем правилам, а не только для того, чтобы собрать свою базу телефончиков.dididididi
14.01.2019 16:58Пардон. Вы правы, у ВК однофакторная защита, достаточно доступа к телефонным звонкам. Если отломать кнопку «позвони мне робот», чтоб этот метод перестал действовать, но в этом случае достаточно физического доступа к телефону.
Что по мне, так это достаточная защита для соцсети по дефолту, чтоб хранить в тайне от врагов список любимой музыки. Для параноиков наверно надо сделать дополнительную многофакторную защиту.
Shabol
14.01.2019 10:37А может кто-нибудь из активных пользователей даркнета подсказать — на почве такого повсеместного провала с сохранением данных граждан, на сколько вырос рынок поддельных пасспортов. Мне думается что в ближайшем будущем это может стать правилом хорошего тона иметь всегда при себе левый пасспорт. Если бы конечно это стоило в разумных приделах.
radonit
14.01.2019 12:41Мне думается что в ближайшем будущем это может стать правилом хорошего тона иметь всегда при себе левый пасспорт.
www.consultant.ru/document/cons_doc_LAW_10699/03a2cf8e995e5efb0295ae74cd9f4829139c8447
Вот вам ответ, чем может закончиться такое правило хорошего тона.
Drebin893
14.01.2019 12:47+1Никогда не понимал, зачем они вообще нужны, недействительные паспорта. Подлинность паспортных данных проверяется элементарно.
Хотя все же мне такое попадалось. Услуга пользуется популярностью у находящихся на территории России жителей так называемых «отдельных районов Луганской и Донецкой областей» Украины. Особенно среди отметившихся участием в вооруженных формированиях: в Украине они уже во всех черных списках, у себя с «регионе» могли попасть во внутренние криминальные разборки, а в России их статус — «нелегальный мигрант» (если поймают, то депортировать могут… отнюдь не в их регион, а в Украину, где ждет готовое уголовное дело за пособничество террористам).
Но паспорт — лишь бумажка. Нужна запись о человеке во всех реестрах. Это уже полноценное гражданство. А гражданство РФ получить к счастью (или сожалению) — весьма нетривиальная задача. Услуги в этой области есть, но стоят очень дорого. И по отзывам: случаются проколы, когда паспорт выдается в официальном гос.органе РФ, но через некоторое время попадает в недействительные и во внутренние «черные списки», со всеми последующими проблемами для человека.
На теме коррупции в области ФМС сидят весьма влиятельные люди. Рынок сильно закрытый, чтобы получить надежную услугу, серые форумы и даркнет не помогут. Нужны люди в кабинетах.
a_stager
14.01.2019 10:37Мне в МТС сменили симку вообще без просьбы предъявить паспорт. По факту я мог бы указать совершенно любой номер и получить любую симку.
Airgen
14.01.2019 10:37Но ведь в данном случае двухфакторная аутентификация как раз спасает, поскольку если она включена, восстановить пароль можно только двумя способами: по электронной почте (если она привязана) или через поддержку если на странице есть настоящие фотографии. Способ с телефоном будет уже недоступен.
Sjam
14.01.2019 10:46Это скорее не исключительная проблема вк, а всех сервисов с привязкой к телефону.
abar
14.01.2019 10:50+2Как жителю Европы мне кажется диким что ни у кого здесь нет никаких сомнений в том, что данные можно пробить и купить за сущие копейки и никто с этим ничего сделать не может.
Казалось бы — это же непаханное поле для разотников спецслужб — регистрируешь условного Макса Мустерманна в сети оператора, идешь по объявлениям даркнета с пробивкой данных, в случае успешного получения данных прессуешь оператора что бы тот выдал имя клерка, который запрашивал эти данные. Повторять до тех пор, пока на погонах не останется места под новые звезды.
Неужели до этого никто не додумался? Или им выгоднее покрывать мелких мошенников которые запрашивают по еврику за слив реальных персональных данных?iig
14.01.2019 11:38в случае успешного получения данных прессуешь оператора что бы тот выдал имя клерка, который запрашивал эти данные.
А можно еще с мерной канистрой ездить по заправкам и всех, ВСЕХ паковать за недолив бензина.
Если кроме шуток: почему-то я уверен, что существуют и offline копии этих баз данных. И к некоторым из них уже имеют доступ те, у кого звезды на погонах.
Silvarum
14.01.2019 12:09+1<sarcasm_mode>А как тогда сами спецслужбы будут пробивать и находить людей, если закрыть дыры?</sarcasm_mode>
psbspb
14.01.2019 12:09Когда у жены на работе со счёта, буквально на глазах увели больше миллиона рублей, и после анализа всех действий была куча зацепок, в полиции сказали примерно следующее НУ, БЫВАЕТ.
Проблема в том, что звёзд на погоны никто за это не даёт, работать сотрудник обязан по заявлению, заявление сотрудник органов брать не хочет, потому, что это нужно работать, да ещё и в 99% случаев полицейский вообще не понимает, что нужно делать, для него это тёмный лес, этим заниматься должен отдел К. А отделу К такие дела нафиг не нужны, зачем им ловить тех кто взламывает страницы в ВК или зарабатывает по 1000 р на сливе инфы?
У них есть работа по интереснее, там где увели десятки миллионов, там где фирмы платят и так далее.
Вот и получается, чтоб поймать мелкого жулика в Интернете, ты должен хоть что-то понимать, а как только ты хоть что-то понимаешь, то ловить мелких жуликов тебе не интересно и возится с ними не хочется.abar
14.01.2019 14:27Тогда понятно. Получается, что лучше бы просто не было никаких привязок к телефону-паспорту, а весь доступ давать только на паролях, чем такое.
Alexey2005
14.01.2019 15:18Так все эти привязки нужны же не для того, чтоб пользователю лучше было. А для того, чтобы скармливать эти данные маркетоидной своре, которая после их анализа сможет максимально эффективно придумывать очередные подлянки для тех же самых пользователей.
rogoz
14.01.2019 15:54Ну да, одни злые маркетологи habr.com/post/428874
sumanai
14.01.2019 20:45Тенденция с требованием номера началась задолго до этих законов, и поразила мессенджеры, которые про Россию только слышали на уроках географии в 5 классе.
A-a-G-and
14.01.2019 15:01Независимо от места проживания (Европа, Азия, обе Америки и т.д.) — везде люди. И природа людей в сущности одинакова. Если у нас так распространены темы подобного рода, то только потому, что продажа данных афишируется. Слишком, сказал бы, широко. В своё время так же было популярным «ломать» аккаунты и на Западе. Силовые структуры любой страны и сами грешат хранением и оборотом пользовательских данных, это оправдано поддержанием своего видения порядка. Везде на планете есть люди, которым платят мало или «платят мало», поэтому они сами с удовольствием зарабатывают на стороне, «tu mihi, ego tibi», как озвучил ещё Платон. Это во всём мире так, а не в конкретных местах. Просто в России наиболее развита свобода Интернет, которая поддерживается силами самих пользователей, поэтому так много излагается о нарушении конфиденциальности. Как следствие, озвучивая вас «ни у кого здесь нет никаких сомнений в том, что данные можно пробить и купить за сущие копейки и никто с этим ничего сделать не может», и не Назовём это гипертрофированной жаждой информационной справедливости, последнего, что ещё мы можем хоть как-то контролировать. В сущности какая разница кто будет ваши данные использовать, банки, рекламщики, страховщики или обычные дворовые жулики. Итог будет один: если будет причина, то их используют. Что до звёзд, то их можно получить и более простыми, не требующими особых усилий, способами.
Drebin893
14.01.2019 15:11— В мире все одинаково. Россия никакое не исключение. Люди то везде одни.
— Тут то еще что! Вон на Америку посмотрите.
— В России наиболее развита свобода Интернета.
Вам сразу две звезды за четкое следование методичке, уважаемый пользователь с двумя постами и регистрацией от 30 декабря 2018 года.springimport
14.01.2019 18:17Да прав он. Может не так нагло как в РФ, но все примерно то же самое. Попробуйте свой social security где-нибудь светануть, ага.
Или вот, придите в спортивный зал и дадите им свою карту)) Но все будет хорошо, пока вы не решите уйти, вот тут то вы и поймете что такое платить годами за *** спортзал в который вы даже не ходите. И ничего сделать им не сможете. Наличные они не принимают, почему-то :)
A-a-G-and
14.01.2019 19:39-1Здравствуйте! Тут, наверно, по неким законам полемики, я должен был бы с пеной у рта доказывать что-то. Но не вижу особого смысла. Только считаю нужным уточнить, то что вы не поняли.
* Я сказал, что «И природа людей в сущности одинакова.», а не, цитирую вас: «В мире все одинаково.». Различие большое, согласитесь? Под природой людей стоит понимать заложенные Кантом понятия того, что из него делает природа (физиологическое) и того, что он делает из себя сам, как существо наделённое волей (прагматическое). Могу посоветовать на эту тему, если позволите, книгу Бертрана Рассела «История
западной философии», там так же уделено этому немного внимания, но уже в лице Аристотеля. Книга в свободном доступе и на многих языках. У человека есть физиологические потребности независимо от расы и места жительства, а зачастую и его прагматические методы. Далее по комментарию, вы несколько сухо изложили мои слова, но пусть «Россия никакое не исключение. Люди то везде одни.». Да, Россия не исключение и люди те же, что в Германии или Ираке. А учитывая массовое использование СМИ, то и менталитет становится не особо отличим, опять же, для превалирующего количества людей.
* «Тут то еще что! Вон на Америку посмотрите.», из какого пальца, извиняюсь, это высасали я не представляю. Об Америке я упоминул только: «Независимо от места проживания (Европа, Азия, обе Америки и т.д.) ...» — имелись ввиду континенты Северной и Южной Америк (на одной северной есть и Канада ещё), а не страны (вы,
мне кажется, извиняюсь, если ошибся, имели ввиду США). Что касается вашей попытки отнести меня к Западникам или к, назовём их так, «Ура-патриотам», то огорчу. Я не в коей мере не являюсь приверженцем столь мелких идей, ещё помятуя борьбу славянофилов и западников, которая до сих пор продолжается. Тут я солидарен с мнением Соловьёва В.С. актуальнм, по моему, по сей день, что решения чечеловеческих
вопросов ни на Западе, ни на Востоке, ещё не дано, а следовательно и искать их надо солидарно, независимо от стран света.
* Что касательно последнего комментария, то я исхожу из философского смысла слова
«свобода». Где субъект сам определяет причины своих действий, а не находится под давлением иных факторов, беря во внимание ответственность за действия и их пагубность для окружающих. В России меньший контроль за интернет пространством со стороны силовых структур, пока что. Вполне возможно, что со временем всё изменится. Так что, я отнюдь не указал это как плюс, наоборот даже… люди в попытках достичь свободы рождают вседозволенность, как следствие и мелких жуликов. Здесь, в России много того, что Фемида никогда не поймёт, плохого и хорошего. Везде есть и хорошее и плохое. Увы, но Утопию мы видим только на страницах романа Томаса Мора. Я живу в России и да, я буду говорить, что это моя страна и просто так, её опошлять не позволю. Но я реалист и вижу недостатки, что творятся вокруг, потому и не буду кричать «ура». Из дома не бегут, если в нём потекла крыша или тараканы, поэтому я жил и живу здесь, что опять же не показатель моего политического и какого-либо ещё взгляда. Я не Солженицын, чтобы бежать, это минимум трусость, на мой скромный взгляд. Не камень в ваш огород, только реальность… я лучше в худой, но родной стране буду делать хорошее, чем просто разглагольствовать о плохом положении вещей из-за границы. Моё мнение, не более.
«Вам сразу две звезды за четкое следование методичке, уважаемый пользователь с двумя постами и регистрацией от 30 декабря 2018 года.»
Честно, не знаю, что за методичка. И да, как вы заметили, увы, я имею крайне мало времени на комментирование или написание статей, предпочитаю больше читать, Alit lectio ingenium. Множество дел и обстоятельств. Чтобы писать что-то, нужно обладать особыми знаниями, подобно Крису Касперски в своё время, вы же, пытаясь меня уязвить, мне показалось так, прошу прощения, если заблуждаюсь, вынуждаете указать и на ваши недостатки статей, типичного описательного характера или повторения и так известных истин. Переписывание и так известного, это отнюдь не развитие. Habr же, с моей, в некотором роде романтической точки зрения, кладезь статей, где люди делятся измышлениями для достижения всеобщего прогресса. Извиняюсь, если мои слова задели, целью ставил разъяснение моего комментария, не более.
DrNefario
14.01.2019 11:25Ну все, понеслось… В пабликах ВК вдруг опросы насчет используемого оператора понеслись :)
vk.com/wall-38959783_1045834
egormerkushev
14.01.2019 12:48Было бы неплохо хотя бы, чтобы операторы тотально логировали доступ к ПД и вставляли по первое число и увольняли тех, кто сливает их, при жалобе реального абонента на такие манипуляции с номером и симками…
redQueen_66
14.01.2019 12:50Я работаю в частной поликлинике, где около 2000 клиентов оставили паспортные данные и номер телефона, а еще «стандартный договор» о персональных данных, по которому поликлиника может передавать их любым 3-м лицам. И не надо ни какого даркнета.
tcapb1
14.01.2019 13:50Для неверующих, что такое возможно. Вот история с ноября прошлого года, где аккаунт ВК был угнан по очень похожей методике: vc.ru/claim/51650-tehpodderzhka-kotoraya-vam-ne-pomozhet-kak-mts-otdal-moshennikam-moy-nomer-a-vkontakte-akkaunt. Только на этот раз был не Билайн, а МТС.
Насколько я понимаю, доступ к аккаунту человек так и не вернул.
suicidejoy
14.01.2019 13:53php_freelancer, Привет
То что ты описал выше никак не доказывает что 2FA не спасает…
Даже если ты получишь доступ к номеру жертвы, к её паспортным данным, ты всё равно столкнёшься с 2FA, и дальше уже пройти не сможешь.
Так как окно рестора будет выглядеть совсем иначе…
Тебе для дальнейшего восстановления страницы придётся получить сформированную ссылку на почту ( по которой зарегистрирована страница ), по которой ты уже сможешь окончательно восстановить страницу.
И уже возникает вопрос где и как ты получишь доступ к почте жертвы?Drebin893
14.01.2019 14:17+1ВК работает без привязки почтового ящика. Но без привязки телефона — нет.
dartraiden
14.01.2019 17:01Если нет почты, то для сброса пароля (при включённой 2FA) нужно быть залогиненным на каком-то другом устройстве, куда в личку придёт код. Телефон уже не используется при сбросе.
Включение 2FA убирает телефон из схемы сброса пароля.
Таким образом, злоумышленник из статьи уже не смог бы войти или сбросить пароль. Для входа ему бы понадобился старый пароль (который он не знал) и код 2FA из SMS. А для сброса пароля ему бы понадобился доступ к почте, либо активная сессия. Ни того, ни другого у него не было.
Bedal
14.01.2019 16:13судя по отсутствию в приведённых «хороших» сканах, «плохой» оператор — Билайн?
alex-1917
14.01.2019 22:38-2Скорее всего да. Но суть в том, что переадресацию в пчелайне можно сделать всего лишь тремя способами:
- ЛК на сайте
- через доступ к исходному мобильнику
- звонок консультанту
Автор пишет про четвертый способ)))
yasitnichenko
14.01.2019 17:15Статья любопытная и в теории так сделать можно. Но на практике есть очень много но и переменных. Операторы в рф самостоятельно переадресацию не делают (да, даже виртуальные не делают), плюс только через номер восстановить пароль в ресторе нельзя (это же 2фа), нужен доступ и к почте.
Для взлома и входа злоумышленнику из статьи понадобился бы старый пароль (который он к моменту переадресации уже должен был знать) и код 2FA из SMS. А для сброса пароля ему бы понадобился доступ к почте, либо активная сессия.
saipr
14.01.2019 21:41Для меня загадка, почему до сих пор не используется авторизация на сертификатах x509?
sumanai
14.01.2019 22:39Сложна (для большинства).
saipr
15.01.2019 12:04А чем сложна? Вставить токен и ввести PIN-код?
sumanai
15.01.2019 21:06Сначала это токен нужно как-то раздобыть. Потом настроить софт на работу с ним. А уж потом начать им пользоваться, молясь, чтобы очередное обновление винды не снесло нужные дрова. А уж по вашей ссылке куча непонятных действий с конфигами.
saipr
15.01.2019 22:22Есть правда в ваших словахю Хотя можно задействовать и облачный токен.
sumanai
16.01.2019 00:37облачный токен
Отличное объединение сложности обычных токенов и уязвимости облачных серверов.
Не, я то не против токенов, точнее даже за стандарт их работы в браузере, но это точно не для обычных людей.
alex-1917
14.01.2019 22:29Странно, что дискуссия так сильно разрослась. Вроде бы автор говорит лишь об уязвимости одной из больничек, в данном случае ВК.
И жаль тех, для кого потеря доступа в ВК может сильно изменить ход его жизни.
mikechips
15.01.2019 01:47Я вам больше скажу — в дарквебе процветает торговля перехватом СМС. В чём суть поста в таком случае? Если вы о том, что это дёшево и дыра у операторов — согласен, конечно.
Spliff-Guru
15.01.2019 17:16А каким образом они перехватывают их? Дублируют SIM?
mikechips
15.01.2019 17:17Оперативно-розыскные мероприятия проводят, при которых можно вполне законно потребовать у оператора сливать всё — там не один человек, легче устроить такое.
Правда, цены соответствующие — в зависимости от сложности от тысячи вечнозелёных.Spliff-Guru
15.01.2019 17:19Т.е. торгуют сами (спец)службы? Такие мероприятия разве не по решению суда?
mikechips
15.01.2019 17:22К сожалению, я плохо осведомлён по юридической части, поэтому насчёт суда не знаю. В курсе только насчёт того, что предлагал человек — говорил, что у него масса контрагентов и связей, которые содействуют ему и находятся в доле, поэтому подобные мероприятия провести несложно, хоть и займёт немного времени.
И да: я понимаю, что такое может сказать кто угодно, но в данном случае он был гарантом одного крупного форума в Торе и пользовался доверием местного населения. В общем, страшно жить)
Spliff-Guru
15.01.2019 17:49Я не сомневаюсь, что подобное процветает, да и сам видел не раз. Интересно просто, как происходят утечки.
mikechips
15.01.2019 18:06Судя по количеству задействованных лиц — все знают и все в доле. А при такой организации утечки на официальном уровне и не утечками вовсе называют. Просто "разыскать срочно надо было"
dopk
15.01.2019 16:19кто-то не стесняется указать свою карту в телеграме
не факт что это собственная карта, можно приобрести карту на «левого» человека, который и знать о её существовании не будет.
В остальном как писали выше, получить доступ к СМС можно и менее сложными путями
lightmaann
16.01.2019 11:07Кстати, реальная история, которая приключилась со мной и картой. По теме «найдут/не найдут».
Есть же пул кулхацкеров, которые взламывают странички в вк и делают рассылку по друзьям с целью «займи денег». Однажды нарвался на такого, и сыграл психологический фактор, т.к. знакомый — программист, от него уж точно не ожидал. В общем, перевел ему по карте 2000 рублей.
На следующий день тот мне пишет мол, извини, взломали. Думаю, черт возьми, попался!
Потом закралась мысль — я же знаю номер карты. Можно будет найти ублюдка.
Пошел в отдел по району писать заяву. А там произошло удивительное чудо. Вышел мужичок и вежливо мне рассказал о том, что скорее всего никто никого искать не будет, таких дел over 100000, и это самые проблемные дела, которые, как правило, не раскрываются. Карты зарегистрированы обычно на бомжей или приезжих, либо на фейковые адреса и тому подобное. На мой вопрос, нельзя ли сопоставить IP адрес, например, и чисто теоретически
по паре сравнить держателя карты и список абонентов, которые выходили в сеть у провайдера в определенное время, мне ответили, мол, это всё время, VK очень долго отдает данные, это все может затянуться на полгода и так далее и тому подобное.
Разочаровался, конечно, и ни в коем случае не афиширую. Просто информация к размышлению :)taujavarob
16.01.2019 16:00+1Карты зарегистрированы обычно на бомжей или приезжих, либо на фейковые адреса и тому подобное.
Тут нет проблемы. Востребовать с банка, выпустившего эту карту — банк то реальный, а не фейковый, поди.
Бомжи, приезжие, фейковые адреса и тому подобное — это проблемы банка (при выдаче банковской карты) а не ваши проблемы.
Если банк откажется от возврата денег — то подать в суд на банк, а не «на бомжа, приезжего и фейковый адрес», подавать и судить этот банк до тех пор пока он не возвратит все деньги (плюс расходы на суды, плюс моральную компенсацию вам), либо не обанкротится.
Пара таких дел (с освещением в СМИ и соц. сетях) и никаких взломов и с переводом денег не будет вовсе (пример США тому есть — там вам вернут враз деньги, и сам банк будет разбираться кто это и почему выпустил карту «на бомжа, приезжего и фейковый адрес»).
P,S. Шаблон ясен — Надо не искать злоумышленника по IPи бить ему морду(это не ваше дело вовсе) — а требовать возмещения ваших потерь с провайдера, банка, владельца сайта и прочих и прочих — именно они и должны вам всё возместить (прямо или по суду, если упрямятся), а уж как они будут сами себе компенсировать свои убытки от этого (устанавливать новое ПО, новые замки, новые технологии, искать, хватать, не пускать… или страховать свои риски, как в Штатах) - это их дело, их путь, их бизнес. Поди.lightmaann
16.01.2019 20:58Это всё понятно, но видите ли, в чем дело. Перевод был добросовестный. Т.е. обычный перевод с карты на карту. Банк, без уведомления органов ничего делать не будет, как мне объяснила женщина из отдела информационной безопасности. Следовательно должна прийти весточка оттуда, которая может прийти лет через 5 или вовсе не прийти, как мне внятно объяснил уже человек в органах. Этим попросту некому заниматься.
Не говоря уже о том, что сумма для таких дел вообще ничтожная.
mdma_xtc
С переадресацией вообще можно много делов натворить, вплоть до получения доступа к онлайн-банкингу.
Кстати, это лишний раз доказывает о глупости привязки номера припейд к паспорту.
achekalin
Характерно, что факт владения номером телефона (причем, замечу, именно номером мобильного телефона) стал уже не только для самого сотового оператора, но и для банка, для органов и суда, для сторонних коммерческих структур подтверждением личности и даже её дееспособности.
При этом смена симки уже становится не мерой против злоумышленников, а гарантированным гемороем, когда тебе нужно обойти миллион мест, где твой номер указан в профиле, и сменить этой номер на новый. Т.е. смена уже давно себе дороже, в то время как даже «угон» номера довольно прост.
Да что там, почти наверняка легко ищется салон связи, который по фото паспорта в телефоне выдаст дубликат симки (а старая в тот момент, конечно, умрет, что еще больше затруднит ее настоящему владельцу вопрос «отката» ситуации). С дубликатом симки можно посетить основные сервисы и сменить там номер телефона на другой. И это, замечу, без сговора с оператором сотового салона, а просто на втирании в доверие к нему и на фото паспорта (а уж «фото», зная реальные данные паспорта старого владельца, нарисовать не проблема).
leotsarev
У МегаФона в течении 1 суток после замены сим карты не работают СМС.
Marcon
А еще смешнее тот факт, что оператор через некоторое время перевыпускает номер телефона, который когда-то принадлежал вам, и если вы забыли сменить привязку номера на каком-то из сервисов, может быть сюрприз. Недавно в новостях мелькал такой казус с телеграмом, когда человек купил симку, и получил доступ к чужому телеграму, ранее привязанному к этому номеру.
mikechips
Ну значит владелец бывшего телеграма налажал. Там есть cloud password, его можно поставить в качестве второго шага авторизации. И никто уже страшен не будет.
unsignedint
есть еще фишка с операторами сип телефонии. Они тоже любят подставлять подтвержденный с помощью смс номер в виде caller-id, да вот беда, симки у меня давно уже нет, а они все еще номер подставляют. Представляю какой был шок у нового владельца симки, когда к нему пришел звонок с его же собственного номера…
mikechips
Вот поэтому не надо класть все яйца в одну корзину — мобильные аутентификаторы гораздо надёжнее в этом плане.
Только это же с ВК напрямую не связано. Так можно что угодно взломать.