Процедура восстановления пароля - слабое место в системах безопасности популярных ресурсов
Для взлома аккаунтов "ВКонтакте" и Google экспертам Positive Research хватило общедоступной информации о человеке из интернета.
Сегодня различными социальными ресурсами и интернет-порталами пользуются множество жителей планеты. Большинство из них регулярно забывают пароли к своим страницам и почтовым ящикам, и в службы поддержки направляются тысячи писем с просьбой о помощи. Для таких ситуаций интернет-ресурсы предусматривают процедуру восстановления пароля. Однако этот процесс может оказаться слабым местом в системе безопасности онлайн-сервисов.
Эксперты исследовательского центра Positive Research проверили на прочность процедуры восстановления паролей "ВКонтакте", Facebook, Google, почты Mail.ru и "Яндекса".
В результате нескольких "социальных атак", направленных на сами сервисы (через процедуры восстановления паролей и виртуальное взаимодействие с сотрудниками службы поддержки), специалисты исследовательского центра получили доступ к учетным записям пользователей "ВКонтакте" и почтовых сервисов Google и Mail.ru. При этом для взлома аккаунтов "ВКонтакте" и Google экспертам было достаточно использовать только общедоступную информацию о человеке из интернета. В случае с Mail.ru доступ к аккаунту удалось получить только после того, как сам пользователь при виртуальном общении сообщил исследователям всю необходимую информацию.
Facebook и "Яндекс" продемонстрировали надежные механизмы защиты данных. Причем система защиты, помешавшая специалистам Positive Research получить пароль к "Яндекс. Почте", может создать серьезные сложности как злоумышленникам, так и добросовестным, но забывчивым пользователям. Для восстановления пароля здесь потребуется личное присутствие в офисе компании с паспортом. А возможности пользователя Facebook, забывшего пароль, в принципе ограничены. Если доступ к почте потерян, Facebook советует зарегистрироваться заново.
"Решая вопросы безопасности, интернет-сервисам приходится искать "золотую середину". Слишком мягкие правила и лояльность по отношению к пользователям приводят к тому, что аккаунты легко взламываются, а слишком жесткие правила могут оттолкнуть пользователей и создать им лишние неудобства", – отметил Александр Навалихин, ведущий эксперт исследовательского центра Positive Research.
© @Astera
