LINUX.ORG.RU
ФорумTalks

Втентаклестрадания

 ,


0

1

У предпринимателя злобные хакеры увели аккаунт в ВК, вместе с его группой в которой он пиарил свою сеть кофеен. Увели, между прочим, как-то сумев настроить переадресацию звонков в МТС. Это к вопросу о надежности подтверждений по sms и тренда делать из мобилы удостоверение личности.

Поддержка ВК ему аккаунт так и не вернула. Типа смена пользователя подтверждена. А это уже к вопросу о том, что sms-подтверждение требуется ради блага пользователей (впрочем уже не только).

https://habr.com/ru/company/digitalrightscenter/blog/460565/

★★★★★

Как-то узнали пароль, как-то перехватили СМС. Слишком много «как-то», вангую что он просто осёл.

Deleted
()
Ответ на: комментарий от Deleted

Возможно. Но из текста статьи не совсем понятно все же как. Допустим, у него пароль к ВК был легко подбираемый или вообще троянец закинули к нему. Но как они в МТС провернули переадресацию?

praseodim ★★★★★
() автор топика

У меня в свое время пытались увести аккаунт. Там пароль был — говно, и его, видимо, подобрали. А потом вдруг решили перепривязать на новый номер, а я уже ни пароля не помню, ни номера у меня того уже давно нет. Но ничего, удалось через поддержку аккаунт удалить нахрен. Собственно, туда ему и дорога.

morse ★★★★★
()
Ответ на: комментарий от Deleted

Погуглите про работу сети SS7 и как можно перехватывать СМС. Про переоформление симки втихую третьими лицами в другом регионе - я даже не говорю: это уже абсолютно обыденная ситуация стала.

Надеюсь, мошенники додумаются, наконец, что так можно грабить не только бедных бузинесменов, но и детишек\супругов наших «слуг народа». Может хоть так эти сервисы начнут уже шевелиться с организацией нормальной 2FA.

DawnCaster ★★
()
Ответ на: комментарий от praseodim

как они в МТС провернули переадресацию?

Может всё проще - у него был второй телефон, который потерял/забыл/подарил.

Случайно тут обнаружил - уехал случайно далеко без рабочего телефона, на который могут звонить по работам. Но взял с собой второй, который никто не знает. Включил на него переадресацию вызовов. Никаких подтверждений не надо было. Одно нажатие одной кнопки в личном кабинете. Просто оба были уже связаны и обозначены как мои в ЛК МТС, когда-то давно.

Deleted
()

к вопросу о том, что sms-подтверждение требуется ради блага пользователей

делается для блага тех кто будет перехватывать и подменять

BLOBster ★★★
()

Судя по замазанной иконке — Билайн переадресует любой номер на любой номер без всякой проверки личности. Все остальные операторы ведут себя правильно.

question4 ★★★★★
()

Это не баг, это фича всех сотовых сетей.
И при наличии достаточного желания этой фичей воспользоваться может вообще любой желающий.
А у полиций и спецслужб к этой фиче давно уже есть и безлимитный доступ и удобный графический интерфейс.

Goury ★★★★★
()

Я уже писал об этом здесь. У меня в ОК взломали акк, давно, заблокировали, ну и хорошо. Недавно он ожил. Опять заблокировали, опять ожил, меня задолбало это. В переписке с ТП на вопрос «как такое может быть, он же заблокирован» ответили «запрос на восстановление пароля был по номеру телефона», «я не указывал номера телефона, в то время его ещё не требовали, как? как он туда попал?» ответа от ТП не получил. В общем снес его нафиг. Все равно давно не пользуюсь. А вот email как был привязан так и остался. именно из-за этой долбанной рассылки я и сагрился. Правда удалить акк теперь у них тоже та ещё процедура.

anc ★★★★★
()

Он ВК платит деньги? У него есть официальный договор? Конечно же нет. Что ты хочешь от бесплатной услуги?

anc ★★★★★
()
Ответ на: комментарий от anc

Не стоит беспокоиться за вк, они свои деньги на пользователях зарабатывают, без куска хлеба не сидят. А официальный договор есть, отношения сервиса и пользователей регулируются правилами сервиса как публичной офертой в соответствии со ст. 437 ГК РФ и остальным законодательством.

Wizard_ ★★★★★
()
Ответ на: комментарий от Wizard_

А официальный договор есть

Нет. Моей подписи нет, их так же нет. Между нами официального договора не существует. В суде это не примут.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от question4

Можешь ткнуть где там про Билайн?

В 2016 году были взломаны телеграм-аккаунты оппозиционных активистов Георгия Албурова и Олега Козловского. Их аккаунты были привязаны к номерам МТС, и незадолго до взлома на них была отключена услуга SMS и включена переадресация. Обстоятельства взлома также не были установлены.

Так не получилось или просто не признались?

Lordwind ★★★★★
()
Ответ на: комментарий от anc

Там при sign up есть галочка «Я ознакомился с правилами, политикой конфиденциальности и принимаю их условия», так что подпись есть.

Между нами официального договора не существует

Почитай, что такое оферта, что такое публичная оферта, комментарии к статьям 435 и 437 ГК РФ. Спойлер: это и есть официальный договор.

Wizard_ ★★★★★
()
Ответ на: комментарий от Lordwind

На скриншоте с единственной удачной незаконной переадресацией — замазанный чёрно-жёлтый логотип. У кого такой кроме Билайна?

question4 ★★★★★
()

Барыга да еще и лох — вот это комбо!

buddhist ★★★★★
()
Ответ на: комментарий от Wizard_

Там при sign up есть галочка «Я ознакомился с правилами, политикой конфиденциальности и принимаю их условия»

Вот. Галочка про правила и бла-бла-бла. Т.е. сегодня они могут быть одни завтра другие, послезавтра третьи. В суде никто на это смотреть не будет. Если скажет ввп или мда, то пофигу была галочка или нет, если придет с жалобой вася пупкин то тоже пофигу была галочка или нет, только решения будут разные.

anc ★★★★★
()

во первых, привязку по номеру телефона делают только сайты вредины, потому что номер телефона не твой, захотят и отберут.
во вторых баян, подобный способ увода аккаунта уже обсуждался тут

darkenshvein ★★★★★
()
Ответ на: комментарий от question4

Я вообще не понимаю о чем ты. У страдальца МТС, в сабже только про МТС. Я еще раз все просмотрел. Где ты Билайн увидел?

Lordwind ★★★★★
()

Внезапно сходил по ссылке

Заблокировать взломанную страницу Алексей смог, только лично попросив об этом знакомых сотрудников ВКонтакте.

лично попросив

Видимо кто-то тоже лично попросил.

ya-betmen ★★★★★
()
Ответ на: комментарий от ya-betmen

Видимо кто-то тоже лично попросил.

Все верно. Это только по телеку пишут про «злобных какеров» а начало всегда «Видимо кто-то тоже лично попросил». Это я без шуток.

anc ★★★★★
()
Ответ на: комментарий от question4

И чо? Там речь про переадресацию звонков, а не смс. А код голосом дублируют далеко не все.

Lordwind ★★★★★
()
Ответ на: комментарий от Deleted

Как-то узнали пароль, как-то перехватили СМС.

перехват смс это давно решенная задача.

cvs-255 ★★★★★
()
Ответ на: комментарий от praseodim

Но как они в МТС провернули переадресацию?

своего человека внедрили. или сговорились с недовольным сотрудником

cvs-255 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.