Одна неочевидная уязвимость некоторых групп вконтакте04.07.2016 12:18

Допустим, у некоторой организации появилась задача — зарегистрировать официальную группу или страницу вконтакте. Сразу возникает вопрос — с какого аккаунта это делать? А вдруг пользователи зайдут на страницу сотрудника, увидят там обнаженку, расчленёнку и вот это всё? Личная страница ведь не должна удовлетворять корпоративным стандартам. Возникает идея — зарегистрировать новый «рабочий» аккаунт.

Небольшой подвох

Новые аккаунты на vk.com должны быть привязаны к телефону. Личные телефоны сотрудников, как правило, уже используются для их личных страниц, да и не очень правильно для рабочего аккаунта использовать «нерабочие» сим карты. В этой ситуации логичным решением кажется сходить к метро и купить новую сим карту, чтобы привязать её к рабочему аккаунту.

В итоге покупается симка, регистрируется аккаунт с которого и создаётся сообщество. После этого начинается развитие, наполнение и продвижение представительства организации в соцсети.

Проходит несколько лет

Группа разрастается, новости пишутся, пользователи активно лайкают, комментируют и репостят. Есть даже целый штат модераторов и администраторов сообщества, чтобы поддерживать всех страждущих. Но во всех этой идиллии есть уязвимое звено — аккаунт создателя сообщества.

«Рабочая» сим карта благополучно провалялась в ящике стола пару лет, за ненадобностью. Деньги на ней были экспроприированы оператором с помощью автоматически подключаемых услуг. Номер был отключен за неактивность.

Рабочий аккаунт в соцсети всё это время был авторизован в рабочем браузере на рабочем компьютере. Но потом надобность в нём отпала, так как администрированием занялись другие сотрудники.

В чем же уязвимость?

Уязвимость кроется в сим карте. Операторы довольно быстро выводят обратно на рынок неактивные телефонные номера. И если этот номер попадёт к любопытному любителю социальных сетей, то есть ненулевая вероятность того, что он захочет восстановить аккаунт к которому был привязан этот номер ранее. И сама социальная сеть ему в этом поможет своими напоминаниями.

Тут нужно понимать, что аккаунт создателя группы даёт убервозможности для её администрирования. Модераторов группы могут разжаловать администраторы. Администраторов могут удалять другие администраторы, и всеми ими вместе взятыми может управлять создатель группы.

В один прекрасный момент наша замечательная корпоративная группа может превратиться в тыкву с рекламой какой-нибудь шляпы.

Что же делать?

У простых смертных, не имеющих доступа в дом Зингера, нет возможности изменять информацию о создателе групп. Поэтому нужно обращаться в техподдержку вконтакте.

Они предлагают пройти не самый простой квест по сочинению странного вида бумажек и подписыванию их у больших боссов.

Если удастся собрать это всё, то аккаунт будет успешно изменён. Таким образом, уязвимость будет устранена.

Итог

Предлагаю всем, кто мог оказаться в такой ситуации, проверить безопасность аккаунта создателя. Ведь никто не хочет потерять то, что нажито непосильным трудом =)

UPD.

поток «Разработка» не соответствует тематике заметки, но именно в нём находится хаб «Информационная безопасность»

Комментарии (7)

• ifaustrue

  4 июля 2016 в 11:23

  0

  ↑

  ↓

  … проверил все свои симки.

• NikMelnikov

  4 июля 2016 в 11:29

  +1

  ↑

  ↓

  Кажется, нужен сервис, который бы поддерживал все симки в актуальном состоянии.

  • Sp0tted_0wl

    4 июля 2016 в 11:53

    +1

    ↑

    ↓

    Выглядит как идея для стартапа.

• aalebedev

  4 июля 2016 в 11:30

  0

  ↑

  ↓

  Включайте двухфакторку, тогда даже с потерей телефонного номера можно будет войти и тем более никто не превратит в рекламу казино или средств похудения.

  А вообще можно открыть со страницы ген директора или менеджера по связям с общественностью.
  Кстати, создателя можно скрыть и блока контактов и никто его не узнает.
  

  • murzix

    4 июля 2016 в 11:33

    +1

    ↑

    ↓

    Так проблема не в том что злоумышленники узнали и взломали аккаунт создателя. Проблема в том что кто-то случайно получил доступ через свежекупленный номер мобильного телефона.

• mittus

  4 июля 2016 в 11:54 (комментарий был изменён)

  +1

  ↑

  ↓

  При мне всегда использовали отдельную корпоративную сим-карту зарегистрированную на юридическое лицо. Использовалась такая сим-карта, находясь всегда во включенном устройстве, для регистрации множества аккаунтов связанных с деятельностью предприятия в интернете. Фирмы идущие в интернет используют далеко не только социальную сеть, и везде нужен мобильный номер телефона с подключением двухэтапной аутентификацией там, где это возможно.

  Так происходит, если говорить об организации работы предприятия, где являешься ответственным лицом. А если говорить о мелких компаниях, то там в основном аккаунты социальных сетей регистрируют директора сами на себя и передают доступ. Это тоже вполне устраивает. Но на моей памяти никогда ни у кого не возникало мысли купить симку у метро, чтобы зарегистрировать что-то на нее, а тем-более развивать это. Если такие случаи и возникнут, то я первым делом буду настоятельно рекомендовать оформлять договор с сотовым оператором на юридическое лицо и переводить туда номер, так как в корпоративном сегменте даже долго валяющиеся без дела номера никуда не деваются.

  • murzix

    4 июля 2016 в 12:10

    0

    ↑

    ↓

    Иногда группа в соцсети появляется по инициативе самих сотрудников, просто чтобы было удобнее общаться с клиентами.