Дыра ВКонтакте, утечка персональных данных пользователей

    По сети стремительно расползается новость о найденной дыре в системе восстановления пароля социальной сети ВКонтакте, введя номер мобильного телефона можно получить имя и аватар человека, зарегистрировшегося под этим номером в социальной сети.

    Воспользоваться этой «телефонной книгой» элементарно:

    1. Заходим на мобильную версию сайта m.vk.com
    2. Жмем «Забыли пароль?»
    3. Вводим номер телефона
    4. Получаем имя и аватар

    Иногда надо ввести капчу.

    Дело за малым — пока дыра активна, отпарсить самую большую базу телефонных номеров России и СНГ.

    UPDATE По состоянию на 16.01.2014 проблема частично решена — указанный выше метод не выдает имя пользователя, только аватар.

    Который в ряде случаев может вывести на страницу пользователя, если воспользоваться поиском по картинке. Если же аватар очень распространен — тоже не беда, в большинстве случаев путь к картинке содержит 3 последние цифры ID пользователя(Пример: cs123456.vk.me/v1234567890/… где 890 — последние 3 цифры ID пользователя). На данный момент метод совершенно бесполезен для поиска пользователей без аватара.

    В планах рассмотреть механизм работы мобильного API.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 209
    • +3
      Веселая штука, разве что капча замедлит парсинг и составление базы.
      • 0
        Поэтому я никогда ничего не регаю на свой мобильник. Спасают левые симки: http://forum.antichat.ru/forum150.html. Можно даже сказать человеку (активатору), чтобы оставил симку и не выбрасывал. Это конечно деньги, но активировать аккаунт это 10руб… Лучше чем принимать тонны спама или быть «под колпаком».
        • +2
          А телефоны тоже меняете? Потому что с одним и тем же IMEI вы всё равно «под колпаком».
          • +1
            Можно подумать, всякие вконтакты знают IMEI…
            • +1
              Если вы пользуетесь мобильным клиентом ( на андроиде в частности, айос вроде не отдает imei ), то может и знать.
            • 0
              Все находится у активатора. И симка, и телефон. Я ему пишу по аське, например — «прими смс». Он вставляет симку в телефон, ждет, посылает мне текст смски по той же аське.
              • НЛО прилетело и опубликовало эту надпись здесь
                • –6
                  А как он это узнает не имея того же имени пользователя\имейла?
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • +2
                      Только что из раздела восстановления пароля ВК:

                      Восстановление доступа к странице
                      Пожалуйста, введите в целях безопасности Фамилию, указанную на Вашей странице.

                      Так что тут можно еще погадать.
                      • +1
                        Все делается проще — покупаете виртуальный номер (лайфхак. некоторые зарубежные операторы предлагают триал на пару дней), ставите софтину-мессенджер на компьютер, принимаете СМС и забываете про номер. Вуаля, анонимный аккаунт готов)
                        • +2
                          А есть ссылка на триал?
                          • 0
                            давно это было все… Поищите в гугле сервисы запросом free uk virtual numbers — тут ВК тоже не промах: регистрируемся через прокси с выбором английского языка + не все виртуальные номера срабатывают — контакт тоже мониторит их списки
                            • +1
                              Жаль, тоже понадеялся на рабочий вариант. Была необходимость в аккаунте пару месяцев назад, достаточно долго шерстил всевозможные варианты виртуальных номеров, но так и не нашел рабочего.
                              • +1
                                Рабочий вариант-то по-любому есть — я тоже ОЧЕНЬ долго искал. Тогда повезло и наткнулся на итальянского провайдера. На тот момент помню умные люди советовали искать такие сервисы в Китае — контакт их хорошо переваривал. Было это, кстати, как раз пару месяцев назад
                                • +1
                                  Да нет, я верю, что они есть, просто сейчас с этим туже, чем тогда, когда вы пробовали. Теперь дешевле и быстрее купить симкарту, как предлагается во втором комментарии, чем тратить часы на поиск и не найти, благо они дешевые.
                                  • 0
                                    не на правах рекламы — anveo.com предлагает виртуальные номера телефонов, многие из которых (в зависимости от страны) умеют принимать смс. сам пользуюсь этим сервисом уже 3 года, пока только пара отправленных смс не дошла до адресата.
                              • 0
                                VoxOx. Не триал, дают номер в США и доллар в подарок.
                              • 0
                                В таком случае нужен не виртуальный номер, так как на него послать смс можно только с реального номера. А нужен хостинг сим карты, многие сервисы сейчас такое предоставляют. Стоит в среднем от 1500 до 2500 в месяц такая услуга.(На хостинге естественно будет сим карта купленная сервисом и не имеющая к вам никакого отношения.)
                        • +1
                          У активаторов очень много клиентов с подобными просьбами, им просто ненужно это. И портить себе репутацию — себе дороже ) Но, конечно, я скорее смотрю на это со своей точки зрения, так как не использую контакт так, как положено, для меня это скорее какая-то полуделовая переписка / музыка / видео. То есть, конечно, если бы я хотел там постить свои фотки, признаваться кому-то в любви или что-то в этом роде, то я, безусловно, не доверил бы кому то номер телефона. Я бы просто купил у барыг пару десятков левых симок и регнул сам на левые номера.
                    • +4
                      Или, можно пользоваться сервисами активаций. Например sms-area.org или sms-reg.org. Найти левый номер уже давно не проблема.
                      • +2
                        Поправлю sms-reg.COM — проверено годами. Пользуюсь, советую так как очень большой выбор номеров и постоянное наличие.
                        • 0
                          "...© Copyright 2012-2013..."
                          Сервис-то новый, на ачате еще его рекламили одно время, о каких годах идет речь?
                      • 0
                        Как-то у вас сложно все.
                        2 строчки на PHP, шаровый хостинг и www.nexmo.com справляются с задачей на ура.
                        • 0
                          Если я правильно понял nexmo — это для рассылок а не для получения. По крайней мере где то несколько месяцев назад я им пытался воспользоваться — возможности принять смс я там не видел. Если не прав — поправте.
                          • 0
                            Да, вы ошибаетесь. У них есть возможность указать собственный API-url, куда nexmo будет отправлять все принятые на номер sms-ки.
                            • +1
                              Простите, а можно поподробнее об этом?
                        • 0
                          Если симкой долго не пользоваться, она перестает действовать. И что делать, если для какой-то операции надо будет ввести код, который приходит в смс на номер, которого уже нет? :)
                          • НЛО прилетело и опубликовало эту надпись здесь
                          • +1
                            Если писать многопоточный парсер, то ничего не замедлит.
                            Кстати, и по деньгам выйдет не так много. Вон, сервисы антикапч уже снижают цены — на pixodrom.com написано, что у них 0.7$ за 1000 капч.
                            А если учесть, что капча вылезает не каждый раз, то выходит совсем недорого за ту же тысячу спарсенных номеров
                            • +2
                              Как это не замедлит? Капча очень даже замедлит. Антигейт / прокси — все это будет очень тормозить процесс даже если писать многопоток на мультикурле.
                              • 0
                                Ну, хорошо, немного замедлит. Но.
                                Распознавание капчи на пиксодроме пусть будет 6 сек в среднем (для простоты), тогда будет 10 капч в минуту.
                                Ставим 100 потоков, и за 1 минуту получаем 100*10 = 1000 проверенных профилей. По-моему, вполне неплохо.
                                Ну, это грубо, но смысл я думаю ясен.
                                Увеличение проверок будет прямо пропорционально количеству потоков и мало зависит от капч. Тут больше зависимость от скорости прокси.
                                • +1
                                  Скажу по секрету, что капча появлялась после 4-5 попытки получения данных, поэтому достаточно было всего лишь работать через прокси. Прогнал just for lulz по базе одного оператора — неплохая статистика определения. Далее тупо поиск по имени и городу и сравнение аватарки — утечка, однако! Неслабая утечка, хотя и не такая уж опасная)
                                  • +1
                                    На ней можно неплохо поднять ) Думаю мы еще услышим о смс-рассылке с именами пользователей )
                                    • +1
                                      Можно и без этого неплохо поднять, а вот передача личных данных 3-им лицам — до 500 тысяч штрафа или 1 год) Так что лучше не пренебрегать законом) Хотя в своих интересах согласно этому закону вроде как можно работать
                                • +2
                                  Не замедлит ничуть, если писать не «многопоток», а нормальный асинхронный код. Сервисы антикапч позволяют хоть весь миллион капч поставить на распознавание одновременно — а людей там работает много, параллелизм хороший получится.
                                  • +1
                                    Простите, а в чем разница многопотока и асинхронной работы?
                                    • +2
                                      В накладных расходах. При создании нескольких потоков у нас будет слишком много context switch'ев, + на каждый поток системой выделяется порядка 4 мегабайт на стек.

                                      В итоге асинхронная реализация в 1 потоке имеет все шансы (и на практике так и происходит) работать быстрее, чем тупая реализация, в которой каждый поток посылает запрос, затем ждет ответа.
                                      • 0
                                        Ну в данном случае вы затрагиваете тему именно ресурсов. Там эти различия во времени не являются значительными, так как среднестатистический впс парсит 1к страниц за 2-5 секунд на мультикурле. Наверное можно даже это дело как-то разогнать на 0.5-2 секунды, но это не такая большая разница во времени, как постоянная нужда ломать капчу или менять проксики. Там 6-10 секунд вполне обычное дело.
                                        • 0
                                          В данном случае лично я говорил о том, что число одновременно ломаемых капч ограничено весьма слабо. Таким образом, за 6-10 секунд будет сломана не одна капча, а все капчи.
                              • 0
                                на этом сайте можно найти страницу по аватарке
                              • +12
                                Почему сюда написали, а не представителям ВК?
                                • +12
                                  Краудсорсинг…
                                  • +10
                                    Я удивлен, что на хабре еще нет этой новости, так как все твиттеры и развлекательные порталы забиты обсуждением этой дыры. Скорее всего представители ВК уже в курсе.
                                    • –8
                                      Ну, например, потому что куда хочет — туда и пишет? Правило «сначала написать администрации» придумали людишки, которые, как правило, ни одной проблемы связанной с безопасностью в своей жизни не нашли, и зарепортить её не пытались (скажем так, это не всегда так просто, как кажется). Более того, если вы придумали себе какие-то странные правила — это не значит, что другие люди тоже руководствуются этими правилами.
                                    • +8
                                      В Facebook абсолютно такое же поведение и без мобильной версии сайта… Ещё и показывает часть email
                                      • +5
                                        Разница в том, что вконтакте обязательно указывать мобильный телефон при регистрации, а в фейсбуке — нет, да и парсить цифровые комбинации с известными префиксами и фиксированной длиной не в пример проще.
                                        • +2
                                          Просто вводишь чужой email с левым паролем и получаешь имя и фамилию, а также аватар.
                                          • 0
                                            Даже этого не нужно уже. Просто в поиске фейсбуке вводишь email и получаешь пользователя. Более того даже по номеру телефона определяет!
                                            • 0
                                              А владельцу приходит письмо, что он входил с неправильным паролем.
                                          • +3
                                            Определить личность можно не только по номеру телефона, но и по email.
                                            • +3
                                              E-mail не получится перебирать последовательно посимвольно, а номера, зная занятые номерные ёмкости, гораздо проще.
                                            • –18
                                              Разве это можно назвать утечкой ПД? ФИО вконтактике, это не 100% имя по паспорту. А аватар вообще ничего не говорит. Юридически контакт дает возможность сопоставить ник и аватар из своей базы, которые не являются ПД, по предоставлению ПД — телефона или емейла.
                                              • +26
                                                В суд может с этим не пойдешь, но сопоставление номера телефона и учетной записи пользователя ничем иным, как утечкой персональных данных не является. Номер телефона является закрытой информацией для служебных нужд и удобства самого пользователя, возможность неавторизованного сопоставления закрытой и открытой информации и есть утечка.
                                                • –18
                                                  Аватар и ник, насколько мне известно, данные не скрываемые никакой настройкой контакта. Т.е. они всегда доступны.
                                                  Номер телефона вам не выводит контакт, вы его знаете сами, заранее.
                                                  А на выходе получаете и так доступные данные пользователя.
                                                  Тут вопрос относительно того, как это квалифицировать очень глубокий и я бы всё же это пока утечкой не называл. :)
                                                  • +7
                                                    Попробую перефразировать. Введя номер телефона 123-45-67, ВКонтакте ответит нам:

                                                    Пользователь не найден.
                                                    Пожалуйста, убедитесь, что Вы правильно ввели телефон, email или логин.
                                                    Если Вы не помните никаких данных, Вы можете нажать сюда


                                                    Т.е. такого телефона нет и нужно искать дальше. Как только находим валидный номер телефона, мы получаем это:

                                                    Аватар | ФИО
                                                    Если это не Вы, нажмите здесь »
                                                    Для восстановления доступа к странице мы вышлем код на номер +7 123 456 78 90.


                                                    В зависимости от ширины канала и кривизны кода, через n-времени мы получаем наиболее полную и правильную базу телефонных номеров, которую можно использовать в своих не интересных целях.

                                                    Если это не является утечкой данных, то тогда чем? С таким же успехом, на Красной площади можно написать «СМС слать сюда»
                                                • +5
                                                  Персона́льные да́нные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу;.

                                                  Но как бы да, теоретически Контакт не является достоверным источником. Фактически же это действительно чувствительные данные.
                                                  • +14
                                                    Есть еще другая сторона. Спарсив базу по всем комбинациям телефонных номеров можно узнать, например, телефон Павла Дурова или Саши Грей.
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                      • +7
                                                        Обзвонить 20 номеров != обзвонить ~10^9 номеров. А еще можно отсеивать по кодам.
                                                        • +1
                                                          там есть официальные аккаунты, прошедшие проверку и обозначеные специальной меткой.
                                                        • +2
                                                          ЕМНИП, после объявления «конкурса» про Telegram, номер Дурова открыто висел на странице с описанием… Так зачем себя утруждать?
                                                          • 0
                                                            Учитывая тот факт, что страница ВКонтакте зарегистрирована не на него, осмелюсь предположить, что номер этот был заведен только на время конкурса (что естественно).
                                                        • +11
                                                          Согласно пунктам 4.3, 4.4, 5.1 правил пользования Вконтакте, пользователь соцсети обязан предоставлять при регистрации достоверные и актуальные данные, в числе которых, в том числе — фамилия и имя. Также в правилах прямо указывается, что пользователь обязан поддерживать эти данные в актуальном, достоверном состоянии.
                                                          • –10
                                                            Отвечу, как среднестатистический пользователь вконтакта: «И чо?»
                                                            • +14
                                                              И то, что это даёт ответ на вопрос:
                                                              Разве это можно назвать утечкой ПД?

                                                              Ответ: да, можно.
                                                              • 0
                                                                «В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные». Наверняка в соглашении есть пункт с таким согласием.
                                                                • +6
                                                                  В рамках 152-ФЗ требуется письменное согласие, а не галочка в интернете.
                                                                  • +2
                                                                    Вконтакте ссылается на пункт 5 части 1 статьи 6 ФЗ № 152, в соответствии с которым согласие субъекта персональных данных на обработку его персональных данных не требуется:
                                                                    5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
                                                                  • +1
                                                                    Наверняка в соглашении есть пункт с таким согласием.

                                                                    Я же выше вам дал ссылку на полный текст — лень почитать? Нет там такого пункта. И даже наоборот, есть противоположный по смыслу пункт 4.8:
                                                                    Администрация Сайта принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения. Администрация предоставляет доступ к персональным данным Пользователя только тем работникам, подрядчикам и агентам Администрации, которым эта информация необходима для обеспечения функционирования Сайта и предоставления Услуг Пользователю. … Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях
                                                                  • –4
                                                                    Правила контакта — это ничто и юридически и по факту.
                                                                    Да, имея емейл и/или телефон, можно пополнить базу спам-знаний очень неплохо. И это действительно плохая особенность данной фичи контакта.

                                                                    Но это не утечка персональных данных, не надо дезинформировать людей. Персональным данным дана ясная трактовка в законе. Выше я достаточно это обосновал.
                                                                    • +6
                                                                      Правила контакта — это ничто и юридически и по факту.

                                                                      Совершенно неверно, это условия пользования сервисом, и опираясь на эти правила Вконтакте не раз выступал в судах (в частности по спорам насчёт пиратского контента), и суд эти правила принимал в качестве довода.

                                                                      Персональным данным дана ясная трактовка в законе

                                                                      Пункт 1, статьи 3 ФЗ № 152-ФЗ:
                                                                      1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);


                                                                      Имя и фамилия, а также номер телефона, которые Вконтакте требует при регистрации, причём требует достоверные и актуальные, а также обязывает пользователя поддерживать их в актуальном состоянии — это персональные данные, полностью соответствующие определению этого термина в законе.

                                                                      Но это не утечка персональных данных, не надо дезинформировать людей

                                                                      Извините, но это как раз вы дезинформируете людей. Это утечка ПД.

                                                                      Выше я достаточно это обосновал.

                                                                      Нет.
                                                            • +33
                                                              отпарсить самую большую базу телефонных номеров России и СНГ


                                                              Добавить сюда имя человека в СП и полетят Смсочки:

                                                              Люся, любимая, это Вася, я попал в беду, скинь сотку на этот номер, потом объясню!
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                • +7
                                                                  А если распарсить граф друзей/родителей — можно вообще адовые схемы проворачивать ;)
                                                                • –38
                                                                  Какой желтый заголовок. Это не дыра.
                                                                  • +120
                                                                    Автор, спасибо!

                                                                    С помощью этого способа я узнал, что за козел мне звонил в новогоднюю ночь, оскорблял и настроение испортил!

                                                                    Спасибо! Добра тебе!
                                                                    • +3
                                                                      Нечто подобное сейчас пытаюсь найти ;)
                                                                    • +6
                                                                      Твоюж мать, можно подумать мне смс спама мало.
                                                                      Пашка, доколе?
                                                                      • –7
                                                                        Причем тут смс-спам?
                                                                        • 0
                                                                          При том, что SMS-спам также использует номера мобильных телефонов.

                                                                          Дык вот мало того, что базу данных с номерами мобильных телефонов можно использовать для SMS-спама, так теперь для неё ещё и вот эдакое употребление нашлось — данные участников социальной сети ВКонтакте собирать.
                                                                          • 0
                                                                            Вы же понимаете, что для того, что бы использовать «дыру» в данном контексте — надо знать номер телефона?
                                                                            Это равносильно рассылке спама используя номерную емкость с сайта россвязи.
                                                                            А вот то, что данные можно получить по номеру — плохо. Но смс-спам тут не причем, как мне показалось. Дыра не является «катализатором» с началу спама. Вот о чем я написал.
                                                                            • +1
                                                                              Эта дыра является катализатором к рассылке таргетированного спама)
                                                                      • +3
                                                                        ВК не выдаёт ссылку на профиль страницы, но Гугл поиск по картинке (аватарке) быстро решает эту проблему.
                                                                        • +1
                                                                          Если пользоваться массово, то есть шанс что гугл забанит за слишком большое число запросов.
                                                                          • +18
                                                                            Маленькая подсказка: в URL фотографии указан id пользователя VK.
                                                                        • +14
                                                                          Кто-то ещё удивляется, почему люди не доверяют «телефонной» авторизации вконтакте?
                                                                          • +7
                                                                            С этой телефонной авторизацией вообще цирк. Вот, расскажу пока свежо (события разворачивались буквально вчера и сегодня). Меня сегодня пол-дня нет-нет да и пробьет на хи-хи, как только вспомню :)

                                                                            Был у меня день рождения, поздравления валились со всех сторон, одно из них пришло ВКонтакте (в который я последний раз логинился уже и не помню когда, наверное как раз год назад, на прошлый ДР, а перед этим — на позапрошлый). Надо поблагодарить человека, кликаю — просит залогиниться (ага, у меня даже куков с того времени не сохранилось). Ввожу пароль — не то, ввожу другой — не то. В общем, забыл пароль. Ладно, думаю, фигня вопрос, как раз для таких случаев умные люди придумали процедуру восстановления по e-mail… Но умные люди и представить не могли, как такую процедуру могли извратить разработчики ВК. Телефона, который был когда-то введен (опять же, в добровольно-принудительном порядке) у меня давно нет — это был рабочий с прошлой работы. И понеслось…

                                                                            1. Есть форма на случай отсутствия доступа к телефону. Старый телефон, новый телефон, старый email (щито?), новый email (щито?), страна регистрации, город регистрации, год регистрации (кто-нибудь помнит?), фото документа (!), фото на фоне страницы восстановления (!!). К этому моменту я уже слегка прифигел, но хрен с вами — очень уж хочется поблагодарить человека за поздравление (и человек хороший, и не пересекались давно). Заполняю, замазываю лишнюю информацию на паспорте, оставляю только имя и фото, отправляю.

                                                                            2. ВК присылает запрос, что им не нравится скан паспорта, а нужно сфотографировать немного сбоку, держа в руке. Я уже конкретно офигеваю, но все еще хочу поблагодарить человека… Фотографирую, снова замазываю все номера и прочую информацию кроме имени и фотографии, отправляю. В качестве комментариев отправляю старый анекдот про перчатки и унитаз. Через полчаса мне приходи в голову идея, какой у меня мог быть пароль, пробую… и он оказывается верным! Отлично, логинюсь и благодарю человека. Подумываю об удалении страницы — нафиг она мне вообще?

                                                                            3. ВК присылает запрос, что им теперь не нравится мое фото на фоне страницы восстановления — недостаточно четкое, видите ли… Тут я окончательно теряю терпение. Пишу ВСЕ, что я думаю об их сервисе, и вместо нового фото присылаю фото «фака» крупным планом. Удаляю свою страницу нафиг (давно уже хотел, да все повода не было, а тут как раз подвернулся).

                                                                            4. Через 2 минуты ВК присылает сообщение, что мой запрос на восстановление пароля одобрен. И вот тут меня пробивает на ржач :))) Для интересующихся — вот скан сообщения, которое я им отправил в ответ на второй запрос, и после которого они одобрили восстановление пароля. Извиняюсь за некоторое количество нецензурных слов, но, как я сказал выше, я высказал ВСЕ, что думаю об их сервисе (кликабельно):
                                                                            image

                                                                            Похоже, «фак» — это магический вконтактовский жест, дающий доступ к секретным уровням…
                                                                          • 0
                                                                            Было бы куда забавнее если бы наоборот.
                                                                            Аля, вводим ID вконтакта, получаем номер телефона и Дмитрий Анатольевич сразу напрягся.
                                                                            • +2
                                                                              Сделайте перебор по номерам телефонов с префиксами российских операторов и получите себе базу вида номер-вконтакт, а там уже ищите кто вам нужен.
                                                                              • +1
                                                                                Лжедмитриев бьюсь об заклад, очень много, как и однофамильцев. Тем более, может я и ошибаюсь, но у гос. чиновников едва ли стандартный префикс.

                                                                                Вообще это лишь капля в море, смс-спам и так достал выше крыши, пора каким-нибудь хитрожопым блокиратором незнакомых номеров обзаводится.
                                                                            • +1
                                                                              Честно, я не в курсе, потому вопрос — кроме как для первичной регистрации (или привязке, если аккаунт уже существовал на тот момент) и восстановления пароля, номер телефона где-нибудь еще используется? В том плане, что бы воспользоваться «одноразовым» номером/симкартой.
                                                                              • +1
                                                                                Для создания приложений и проверки, что это действительно вы зашли с Германии, когда минуту назад были в России
                                                                                • +1
                                                                                  Можно настроить оповещения о сообщениях по СМС.
                                                                                  • 0
                                                                                    >В том плане, что бы воспользоваться «одноразовым» номером/симкартой.

                                                                                    Потом замучитесь менять номер, когда он (не дай Б-г) вам вдруг понадобится для восстановления пароля
                                                                                  • +6
                                                                                    Спасибо! Пробил всю свою телефонную книгу. Особенно уделил внимание неизвестным номерам :)
                                                                                    • +1
                                                                                      красотень
                                                                                      одно радует: удаленные аккаунты не находятся (проверил по своему номеру сотового)
                                                                                      • +1
                                                                                        Уже вроде пофиксили. Теперь после ввода телефона требуют еще и фамилию.
                                                                                        • +4
                                                                                          Надо именно через мобильную версию m.vk.com
                                                                                          • +1
                                                                                            Ах да, этот момент я прощелкал… Пардон.
                                                                                        • +2
                                                                                          Какой хай был когда утекали БД ОПСОСов и как в полном объеме БД утекать перестали? Сколько лет назад это было?
                                                                                          • +3
                                                                                            В начале 00-х это было последний раз.
                                                                                            МТС сменил поставщика биллинга, после чего проблема ушла.
                                                                                            Как поступили другие операторы — не знаю, но больше таких проблем не возникает.
                                                                                            Уж очень серьезные люди были недовольны в своё время.

                                                                                            Вы понимаете, увести базу ОПСОСа снаружи нереально по чисто физическим причинам. Сетевая безопасность там лучше, чем во многих банках. Способ только один: сотрудник ОПСОСа или компании-подрядчика, находясь на площадке ОПСОСа, выполняет select по базе (причем, не по боевой, а по тестовой) и пишет результат на внешний диск. Но USB-порты на компах отключают.
                                                                                            • +1
                                                                                              Т.е. скучающий менеджер в салоне «пробить по базе» не может? Ну или по крайней мере не массово?

                                                                                              Тут с другого конца зашли, хотя справедливо что кому надо не стали указывать постоянно действующий номер.
                                                                                              • 0
                                                                                                Тут еще вопрос, сколько этих самых баз, и как они разделены… У МТС, например, точно разные базы по регионам.
                                                                                                • 0
                                                                                                  Может, но есть софт для контроля БД, кто чего запрашивал и какого фига. А при наличии грамотного безопасника или боле продвинутого софта такой вот менеджер сразу попадет на карандаш
                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                              • 0
                                                                                                Ну это сложнее:
                                                                                                1) пользователь должен установить приложение
                                                                                                2) вы должны прогнать всю базу номеров
                                                                                                3) получите только его друзей.
                                                                                                А тут один номер, почти один контакт.
                                                                                                • +1
                                                                                                  Кто мешает пользуясь API загрузить список сгенерированных по правилам номеров любой длины, а полученный вывод оформить в удобную табличку?
                                                                                                  • +1
                                                                                                    Если я правильно понял, вам надо:
                                                                                                    1) Сделать приложение с большим охватом
                                                                                                    2) для каждого пользователя пробить весь список номеров за исключением, быть может, всех уже найденых.
                                                                                                    3) Если у пользователя нет друга установившего ваше приложение вы его номер не получите.
                                                                                                    • +3
                                                                                                      Нет, надо просто скормить список номеров, пользователей он вам вернет сам. Там же написано, что апи запрашивает только один параметр телефонной книги — номер, наивно предполагая, что это и правда человек из вашего списка контактов.
                                                                                                      • 0
                                                                                                        метод доступен только десктопным приложениям — ничего у Вас не выйдет. Если, конечно, реально не сделать приложение с очень большим охватом типа оффициального мессенджера от Вк, а в нем на данный момент всего 7,5 миллионов пользователей. Сомневаюсь, что можно создать что-то мощнее
                                                                                                        • 0
                                                                                                          Зачем охват? Достаточно самому пройти авторизацию и передать искомый номер в account.importContacts, который вернёт инфу о человеке с этим номером.
                                                                                              • +29
                                                                                                Прекрасно, спалил левый аккаунт подруги.
                                                                                                • +21
                                                                                                  Пробил номер, с которого мне угрожали. Забавно-с. :)
                                                                                                  • +4
                                                                                                    Нашел несколько неопозннанных контактов. Полезная фича!
                                                                                                    • +10
                                                                                                      да, и я тоже узнал кто такие Надя1, Надя2 и т.д.
                                                                                                      • +25
                                                                                                        Главное, чтобы жена не узнала, кто такая «Сергей Иванович».
                                                                                                    • +14
                                                                                                      Представляю сколько анонимных признаний в любви сейчас раскроется =)
                                                                                                    • +1
                                                                                                      Похоже, уже пофикшено. Если поискать подряд несколько номеров, то помимо капчи начинает спрашивать фамилию человека, указанного в профиле, привязанном к данному номеру.
                                                                                                      Конечно, это не спасает от точечного поиска, только от массового сбора данных.
                                                                                                      • +3
                                                                                                        А где же остальные ИМХО самые главные пункты 5 и 6 в инструкции? :)

                                                                                                        5. ???????
                                                                                                        6. PROFIT
                                                                                                        • +3
                                                                                                          Так вот уже отписались у каждого свой п.5 но у всех PROFIT.
                                                                                                        • +4
                                                                                                          Походу уже прикрыли, теперь показывает только аватар, никаких каптч и прочего.
                                                                                                          • +4
                                                                                                            Похоже больше не получаем имя, только маленькую аватарку в 40 пикселей.
                                                                                                            • +4
                                                                                                              Да, закрыли буквально пару минут назад.
                                                                                                              • +3
                                                                                                                Для поиска по картинкам в гугле достаточно, только что так нашёл владельцев 2-х неизвестных номеров.
                                                                                                              • +4
                                                                                                                >>Дыра
                                                                                                                Автор, вы чего? Держите скриншот восстановления аккаунта гугла
                                                                                                                • +3
                                                                                                                  Это где такое? Захожу сюда, при выборе «I don't know my username» и вводе номера телефона предлагают отправить на него сообщение.
                                                                                                                • +3
                                                                                                                  В Facebook выдает имя пользователя по телефону.
                                                                                                                  www.facebook.com/recover/initiate
                                                                                                                  Учитывая, что в VK ник уже не показывает, получил имя из FB и авку из VK.
                                                                                                                  • +2
                                                                                                                    Кстати, указанный выше поиск по картинке через поиск Google помогает найти человека и после включения новой защиты, если у него оригинальная аватарка.
                                                                                                                    А одного человека не смог найти, т.к. у него на аватарке стояло растиражированное фото Мерседеса. Т.ч. защита от поиска — ставьте аватарки Чебурашки и т.п. на VK.
                                                                                                                    • +3
                                                                                                                      Как выше упоминали, в пути к аватарке есть 3 последние цифры ID пользователя, то есть сначала вы сужаете поиск до аватарки, а потом отбираете того пользователя, у которого последние 3 цифры совпадают с цифрами в пути выданной основным методом автарки.
                                                                                                                      • +1
                                                                                                                        Сейчас проверил — нет такого совпадения. Может уже поменяли и тут что-то. Явно кто-то с VK в теме сидит.
                                                                                                                        • +3
                                                                                                                          Все еще актуально, брать из урла аватара надо последние 3 цифры во втором блоке, который начинается с буквы v и далее цифрами. Эти три цифры будут последними 3-я цифрами id пользователя.
                                                                                                                          • +1
                                                                                                                            Так пересолить URL картинок надо поболее времени потратить, чем поменять шаблон страницы восстановления пароля.
                                                                                                                            • +3
                                                                                                                              Выигрывает только казино тот, у кого нет аватарки. Нет аватара — нет урла.
                                                                                                                              • +1
                                                                                                                                Почему-то попадаются URL такого вида: http://cs<DOMAIN_ID>.vk.com/upload.php?proxy=<loooong string>

                                                                                                                                Отсюда уже никакой ID не подберешь.
                                                                                                                  • +2
                                                                                                                    Уважаемые хабровчане, мне кажется или пост ведет себя аномально? Периодически то исчезая, то появляясь в топе. Это особенности системы скоринга, мой локальный глюк или происки ЗОГ?
                                                                                                                    • +9
                                                                                                                      Наверно стоит радоваться что он есть вообще. Вчера видел отличный наброс на Билайн, который живо исчез.
                                                                                                                      • +2
                                                                                                                        Уже убрали фамилию, поэтому пост наверное останется в топе.
                                                                                                                        • +2
                                                                                                                          Это не проблема, по аве через поиск картинок в google прекрасно находится анкета пользователя))
                                                                                                                          • +1
                                                                                                                            Если только там не что-нибудь вроде «Моны Лизы».
                                                                                                                            • +2
                                                                                                                              Если при поиске по картинкам добавить «site:.vk.com», задача может быть значительно облегчена.
                                                                                                                      • +1
                                                                                                                        Я аналогичное наблюдаю уже с месяц, если не больше. Когда некоторые посты просто исчезают из ленты при обновлении страницы. Через некоторое время обновишь — они тут как тут.
                                                                                                                        В поддержку писал, но не помогло. Это глюк Хабра, а не ваш локальный.
                                                                                                                      • +1
                                                                                                                        У Фэйсбука была похожая уязвимость.
                                                                                                                        • +5
                                                                                                                          А почему была? Вроде как сейчас аналогичная ситуация.
                                                                                                                        • +1
                                                                                                                          Интересно, все-таки кто-нибудь скачать всю базу успел (и молчит) или нет?
                                                                                                                        • +2
                                                                                                                          image
                                                                                                                          • +2
                                                                                                                            теперь только аватарку показывает, спалили фичу.
                                                                                                                            • +2
                                                                                                                              Вот вам ещё «уязвимость» в копилку — скрытый возраст пользователя можно узнать, поиграв с диапазоном возраста в поиске. Скорее всего так же и некоторые другие поля можно узнать.
                                                                                                                              • +8
                                                                                                                                Нашёл аккаунт бывшей. Узнал ответ на главный вопрос: ушла ли она тогда налево. Ну и зачем я это сделал?
                                                                                                                                • +2
                                                                                                                                  А я обнаружила аккаунт, владелец которого клялся, что удалил страницу в VK.
                                                                                                                                  Спасибо, ВКонтакте, помог снять лапшу с ушей.
                                                                                                                                  • +6
                                                                                                                                    Отпусти её, бро
                                                                                                                                    • +1
                                                                                                                                      Отпустил давно уже. Просто считал её самой честной девушкой в мире. Это общее разочарование в людях, конкретный человек тут не имеет значения.
                                                                                                                                  • +3
                                                                                                                                    Вот вам еще один лайфхак: Добавляем жертву в список контактов. Заходим в WhatsApp и/или Viber. Если человек пользуется этими месенджерами (а армия таких пользователей растет стремительно), то мы можем запросто увидеть фотку человека в неплохом разрешении, а иногда и даже узнать имя.

                                                                                                                                    • 0
                                                                                                                                      а разве ты не должен быть добавлен в контакты у этого человека?
                                                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                      • 0
                                                                                                                                        Добавляем в телефонную книгу — а то «список контактов» не совсем понятно, о чем речь.
                                                                                                                                        • +2
                                                                                                                                          Телефонная книга что в Android, что в iOS зовется именно Контакты. Те, у кого стоит WhatsApp или Viber знают, что эти мессенджеры не имеют собственного списка контактов и используют системный. Последовательность действий «добавляем в список контактов -> заходим в whatsapp/viber» явно подразумевает, что мы не запускаем мессенджеры для каких-то манипуляций с контактами, а предварительно добавляем номер телефона в какой-то посторонний список, очевидно, что это системный список контактов.
                                                                                                                                          • –1
                                                                                                                                            Так как пост об VK, и там есть контакты, я первым делом подумал, что надо добавить человека там, хотя у меня стоит Viber и я знаю как он работает. Да и вопрос rdntw, мне показалось, того же рода.
                                                                                                                                            • 0
                                                                                                                                              В контакте друзья же, вы что. Какой там список контактов?
                                                                                                                                      • +1
                                                                                                                                        мне любопытно, пока все обсуждают что с этим делать, кто-нибудь уже отпарсил? :)
                                                                                                                                      • +6
                                                                                                                                        Имя и фамилия уже не отображаются, только аватарка.
                                                                                                                                      • +1
                                                                                                                                        Если спарсить такую базу даже в виде «номер и фотография», без имени, то можно уже неплохо повышать конверсии при регистрации в проектах, связанных с мобильной авторизацией/регистрацией.

                                                                                                                                        Представьте себе: регистрируетесь в сервисе, а он сам за вас уже заполнил все поля, не спрашивая ни социальных сетей, ничего кроме номера. Вопросы конечно возникнут в голове (и то не у всех), но все равно приятно :)
                                                                                                                                        • +2
                                                                                                                                          Говорят что этой «дыре» уже почти год. Просто сегодня она получила широкую огласку.
                                                                                                                                          • +4
                                                                                                                                            Долго работала. Весьма удобно было :(
                                                                                                                                          • –3
                                                                                                                                            Ну кто-то узнает мой номер, дальше что?) Ну поспамит этими кодами… Не понимаю вокруг чего такая супер-шумиха?
                                                                                                                                            • +27
                                                                                                                                              А я нашел кто мне слал СМС вида «Андрюша, я люблю тебя, Ксюшенька» в 2004 году. Оказался чувак знакомый :-)
                                                                                                                                              Номер ждал своего звездного часа 10 лет в текстовом файлике.