Уязвимость или недоработка Вконтакте?

в 12:22, , рубрики: Песочница, метки: , ,

Добрый день!

Эта история начинается с того, что я решил сделать мурзилку с картинками для своего знакомого о регистрации в социальной сети «Вконтакте».

В процессе регистрации требуется указать номер сотового телефона. Так как я уже являюсь пользователем данной соц. сети, получил сообщение о том, что на данный номер уже зарегистрирован аккаунт.

Предлагаю ознакомиться с последовательностью моих действий и некоторыми выводами:

  1. На главной станице vk.com ввел тестовые данные в форму регистрации: имя пользователя: Тест, Фамилия: Тестович — Изображение №1;
  2. Указал пол;
  3. Ввел номер сотового телефона — Изображение №2;
  4. Получил код от «Вконтакте», ввел его в поле;
  5. Придумал и ввел сложный пароль, нажал на кнопку «Войти на сайт» ;
  6. На данном этапе я получил сообщение о том, что к данному номеру телефона уже привязана страница. В этом окне есть две кнопки: «Зайти уже на существующую страницу», «Создать новую пустую страницу». Тут я задумался, а что будет, если я нажму на первую кнопку? Смогу ли я войти на свою страницу без ввода пароля? — Изображение №3;
  7. Нажимаю на кнопку и действительно попадаю на свою страницу!

Отбрасывая различные моменты о cookies и тому подобное, попробовал осуществить данный способ с профилем своей жены.

На компьютере, с которого я работал, она не подключалась к данному сайту и не вводила свои пароли.

Проделал пункты с 1 по 5 еще раз, позвонил жене и сообщил, что сейчас ей придет сообщение и попросил сказать мне код.

Завершил свои действия пунктами 6 и 7, вошел в профиль своей жены: Изображение №4.

Я не знаю, как на это реагировать, но мне кажется, что это уязвимость в алгоритме регистрации пользователя в одной из самых популярных социальных сетей.

Здесь есть пара нюансов:

  1. Используя данную схему, у меня сменился пароль от моей реальной страницы на тот, что я вводил при «тестовой регистрации»;
  2. Как получить код подтверждения из смс от пользователя?

Если первым пунктом мы можем пользователю немного испортить настроение (хотя, он об этом узнает чуть позже, когда попытается войти к себе в профиль), то второй пункт можно реализовать, используя социальную инженерию.

Например:

Звонок из скайпа на телефон жертве:
Добрый день! Это техническая поддержка «Вконтакте».
Позвольте задать вам несколько вопросов?
Вы пользуетесь нашим сервисом (сайтом и т.д.)?
Вы слышали про массовые утечки паролей в сети Интернет от почтовых ящиков mail.ru, yandex.ru, gmail.com?
Исключительно в целях безопасности и заботе о наших клиентах мы вынуждены обзванивать всех пользователей для того, чтобы убедиться в…
Сейчас мы направили вам цифровой код по смс на номер телефона, можете его назвать?
Дальше культурно прощаемся, желаем хорошего дня.

В смс сообщении от «Вконтакте» мы не видим текста о том, что не нужно сообщать код из смс кому-либо.
Например, «Зеленый» банк миллион раз напишет об этом, почти в каждой смс.

Ниже пример того, как можно сделать смс более «клиентоориентированным».

Регистрируемся на сайте, имя пользователя — «Сообщипотелефону», Фамилия любая — Изображение №5.

Пользователю приходит смс такого содержания — Изображение №6.

Выводы

Используя данный алгоритм я пытался «раскрутить» атаку по «уводу» профиля пользователя. Здесь можно поставить оценку отлично команде социальной сети, так как на различные действия по замене номера телефона и изменению почтового ящика для сброса пароля они сообщают об этом по смс и пишут сообщения на электронную почту пользователю — Изображение №7.

Данная схема позволит воспользоваться профилем пользователя для… Мне кажется, что каждый самостоятельно решит, как извлечь из этого профит.

А что делать, если твой отключенный оператором номер попал в руки простого человека, который захотел зарегистрироваться в данной социальной сети? Он легко сможет попасть в чужой профиль.

«Вконтакте» не помешало бы добавить в смс информацию о том, что код регистрации не нужно сообщать посторонним. Или, исправить алгоритм регистрации пользователя, исключив возможность входа на страницу действующего аккаунта без ввода пароля.

P.S. Никогда, никому не сообщайте получаемые коды из смс.

Будьте здоровы.


  1. Alex:

    Этой фигне уже очень много лет. Странно что ВК сам не дошёл и не убрал эту фитчу.

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js