Социальная сеть «ВКонтакте» изменила страницу восстановления доступа к аккаунту, чтобы предотвратить несанкционированное разглашение номера телефона пользователя. Изменения были введены 23 мая, отмечается в неофициальном сообществе обновлений «ВКонтакте» «LIVE Экспресс».
Узнайте больше в полной версии ➞Теперь при восстановлении доступа к странице пользователь видит только международный код и две последние цифры номера, на который придет специальный SMS-код. Раньше «ВКонтакте» выводила весь номер, за исключением четырех последних цифр.
21 мая специалист по информационной безопасности Дмитрий Евтеев описал уязвимость такого подхода. Он указал, что при восстановлении доступа к аккаунту в Facebook видны четыре последние цифры номера, а в Google — последние две. Во всех трех сервисах для получения этой информации нужно знать только адрес электронной почты, на которую зарегистрирована страница.
Таким образом, если пользователь для регистрации во «ВКонтакте» и в Facebook использовал один и тот же номер телефона и адрес электронной почты, то злоумышленник мог выяснить номер, зная только этот адрес. В случае комбинации «ВКонтакте» — Google раскрывался весь номер телефона, кроме двух цифр, которые можно перебрать за 100 попыток.
Привязка номера телефона к аккаунту существует во многих популярных онлайн-сервисах. Она позволяет дополнительно защитить пользователя от взлома: для входа на страницу нужно не только знать связку логин и пароль, но и ввести уникальный код, полученный по SMS. При регистрации во «ВКонтакте» ввод номера телефона обязателен.