Одна неочевидная уязвимость некоторых групп вконтакте

в 8:09, , рубрики: vk.com, Вконтакте, информационная безопасность

Допустим, у некоторой организации появилась задача – зарегистрировать официальную группу или страницу вконтакте. Сразу возникает вопрос – с какого аккаунта это делать? А вдруг пользователи зайдут на страницу сотрудника, увидят там обнаженку, расчленёнку и вот это всё? Личная страница ведь не должна удовлетворять корпоративным стандартам. Возникает идея — зарегистрировать новый «рабочий» аккаунт.

Небольшой подвох

Новые аккаунты на vk.com должны быть привязаны к телефону. Личные телефоны сотрудников, как правило, уже используются для их личных страниц, да и не очень правильно для рабочего аккаунта использовать «нерабочие» сим карты. В этой ситуации логичным решением кажется сходить к метро и купить новую сим карту, чтобы привязать её к рабочему аккаунту.

В итоге покупается симка, регистрируется аккаунт с которого и создаётся сообщество. После этого начинается развитие, наполнение и продвижение представительства организации в соцсети.

Проходит несколько лет

Группа разрастается, новости пишутся, пользователи активно лайкают, комментируют и репостят. Есть даже целый штат модераторов и администраторов сообщества, чтобы поддерживать всех страждущих. Но во всех этой идиллии есть уязвимое звено – аккаунт создателя сообщества.

«Рабочая» сим карта благополучно провалялась в ящике стола пару лет, за ненадобностью. Деньги на ней были экспроприированы оператором с помощью автоматически подключаемых услуг. Номер был отключен за неактивность.

Рабочий аккаунт в соцсети всё это время был авторизован в рабочем браузере на рабочем компьютере. Но потом надобность в нём отпала, так как администрированием занялись другие сотрудники.

В чем же уязвимость?

Уязвимость кроется в сим карте. Операторы довольно быстро выводят обратно на рынок неактивные телефонные номера. И если этот номер попадёт к любопытному любителю социальных сетей, то есть ненулевая вероятность того, что он захочет восстановить аккаунт к которому был привязан этот номер ранее. И сама социальная сеть ему в этом поможет своими напоминаниями.

Тут нужно понимать, что аккаунт создателя группы даёт убервозможности для её администрирования. Модераторов группы могут разжаловать администраторы. Администраторов могут удалять другие администраторы, и всеми ими вместе взятыми может управлять создатель группы.

В один прекрасный момент наша замечательная корпоративная группа может превратиться в тыкву с рекламой какой-нибудь шляпы.

Что же делать?

У простых смертных, не имеющих доступа в дом Зингера, нет возможности изменять информацию о создателе групп. Поэтому нужно обращаться в техподдержку вконтакте.

Они предлагают пройти не самый простой квест по сочинению странного вида бумажек и подписыванию их у больших боссов.
image

Если удастся собрать это всё, то аккаунт будет успешно изменён. Таким образом, уязвимость будет устранена.

Итог

Предлагаю всем, кто мог оказаться в такой ситуации, проверить безопасность аккаунта создателя. Ведь никто не хочет потерять то, что нажито непосильным трудом =)

UPD.

поток «Разработка» не соответствует тематике заметки, но именно в нём находится хаб «Информационная безопасность»

Автор: murzix

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js