Эксперты исследовательского центра Positive Research, подразделения компании Positive Technologies, проверили на прочность процедуры восстановления паролей "ВКонтакте", Facebook, Google, Почты Mail.Ru и Яндекс.
В результате нескольких "социальных атак", направленных на сами сервисы (через процедуры восстановления паролей и виртуальное взаимодействие с сотрудниками службы поддержки), специалисты исследовательского центра получили доступ к учетным записям пользователей социальной сети "ВКонтакте" и почтовых сервисов Google и Mail.ru. При этом для взлома аккаунтов "ВКонтакте" и Google экспертам было достаточно использовать только общедоступную информацию о человеке из интернета. В случае с Mail.Ru доступ к аккаунту удалось получить только после того, как сам пользователь при виртуальном общении сообщил исследователям всю необходимую информацию.
Надежные механизмы защиты данных продемонстрировали Facebook и Яндекс. Причем система защиты, помешавшая специалистам Positive Research получить пароль к "Яндекс.Почте", может создать серьезные сложности как злоумышленникам, так и добросовестным, но забывчивым пользователям. Для восстановления пароля в Яндексе потребуется личное присутствие в офисе компании с паспортом. А возможности пользователя Facebook, забывшего пароль, в принципе ограничены. Если доступ к почте потерян, Facebook советует зарегистрироваться заново.
"Решая вопросы безопасности, интернет-сервисам приходится искать "золотую середину". Слишком мягкие правила и лояльность по отношению к пользователям приводят к тому, что аккаунты легко взламываются, а слишком жесткие правила могут оттолкнуть пользователей и создать им лишние неудобства", – комментирует Александр Навалихин, ведущий эксперт исследовательского центра Positive Research.
Действия по восстановлению паролей касались реальных аккаунтов пользователей "ВКонтакте", Facebook, Google, Mail.Ru и Яндекса. Владельцев этих учетных записей предварительно проинформировали о целях исследования и получили от них согласие на совершение действий с их аккаунтами. После завершения проекта полученные реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми работали эксперты, получили уведомления о найденных уязвимостях.
Anti-Malware.ru