Я и пытаюсь обратить на это внимание поддержки Вконтакте, так как мой случай весьма показательный. Комментарий michael_vostrikov выше (про стирание смс в очереди) весьма кстати. Видимо где-то что-то упустили из виду.

Восстановление идет только на ТЕЛЕФОН (даже если я указываю привязанную почту). Только что проверил для убедительности.
Было именно восстановление, так как я не мог воспользоваться повторным восстановлением (лимит 24 часа), кто-то получил/перехватил каким-то образом СМС!

Я и написал, что возможно — судя по всему. Так как других версий просто нет! Тем не менее, кто-то воспользовался восстановлением пароля на телефон (при этом самой SMS на моем телефоне нет, я даже на сайте оператора логи проверил).

IP разные из Германии, но одного провайдера. Никаких мобильных клиентов соцсетей нет на телефоне, кроме FB. Установка из внешних источников запрещена. Самим ВК с телефона последний раз пользовался полгода назад, за это время пароль менялся 3 раза.

Пароль был сброшен и заходили в аккаунт в 3 часа утра (и повторно в 10), когда телефон не мог находится в интернете (был выключен и компьютер). В общем, все это меня не смутило бы, если бы не выглядело странным.

СМС не приходила. Только извещение на почту, что пароль успешно изменен. А при попытке восстановить/изменить пароль сообщение: что Вы уже воспользовались восстановлением, попробуйте позже. Куда, кому и как пришел сброс пароля — не понятно!

Дополнительно сообщу, что поддержка Вконтакте отреагировала на этот комментарий и пароль удалось восстановить на привязанный телефон (вне очереди). В логах есть два захода с Androida с разных IP (при том, что мобильным приложением давно не пользуюсь).

А уязвимость точно устранили? Судя по всему, по этой схеме, меня взломали сегодня утром

Доступно и для Chrom chrome.google.com/webstore/detail/seo-tools/pchdjfphepablonpcppmolebmpebgjia?hl=ru&authuser=1

Теоретически, с этим не должно быть проблем. Скрин можете приложить с проблемой? (или речь не о расширении в статье)?

Ссылку поправил. Прощу прощения за досадную ошибку

Прошу у всех прощения — ссылка действительно не на то расширение. Поправил.
Сижу думаю, как это могло произойти…

А суть в том, что проверяя e-mail на наличие Граватара, становится возможным узнать email граватара (простите за тавталогию, смотрите видео):

нужно взять на вооружение

Тогда придется менять все на сайтах, которые показывают граватары!

Практически, если человек свою почту нигде не светил (вероятность высока для новосозданных ящиков)

Если он создал граватар для своей почты, то и комментарий оставит на каком-нибудь сайте (тогда его адрес становится известным третьему лицу — администратору сайта)! Да, многие люди оберегают емайлы, но так ли реально их уберечь? Вы же пишите кому-то письма, где-то регистрируетесь, где-то комментируете и т.д. и т.п. Под этим я и подразумевал — «теоретически все адреса электронной почты у всех пользователей интернета».

Совершенно верно, далеко не все пользователи Граватара расшифрованы (мы проверили лишь 10 млн. открытых адресов и получили открытые адреса электронной почты у 300 000 пользователей Граватара). Но, теоретически их (адреса) можно все проверить и, соответственно, получить все адреса (показан метод).