0,0
рейтинг
15 января 2014 в 16:28

Разработка → Дыра ВКонтакте, утечка персональных данных пользователей

По сети стремительно расползается новость о найденной дыре в системе восстановления пароля социальной сети ВКонтакте, введя номер мобильного телефона можно получить имя и аватар человека, зарегистрировшегося под этим номером в социальной сети.

Воспользоваться этой «телефонной книгой» элементарно:

1. Заходим на мобильную версию сайта m.vk.com
2. Жмем «Забыли пароль?»
3. Вводим номер телефона
4. Получаем имя и аватар

Иногда надо ввести капчу.

Дело за малым — пока дыра активна, отпарсить самую большую базу телефонных номеров России и СНГ.

UPDATE По состоянию на 16.01.2014 проблема частично решена — указанный выше метод не выдает имя пользователя, только аватар.

Который в ряде случаев может вывести на страницу пользователя, если воспользоваться поиском по картинке. Если же аватар очень распространен — тоже не беда, в большинстве случаев путь к картинке содержит 3 последние цифры ID пользователя(Пример: cs123456.vk.me/v1234567890/… где 890 — последние 3 цифры ID пользователя). На данный момент метод совершенно бесполезен для поиска пользователей без аватара.

В планах рассмотреть механизм работы мобильного API.
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (209)

  • +3
    Веселая штука, разве что капча замедлит парсинг и составление базы.
    • 0
      Поэтому я никогда ничего не регаю на свой мобильник. Спасают левые симки: http://forum.antichat.ru/forum150.html. Можно даже сказать человеку (активатору), чтобы оставил симку и не выбрасывал. Это конечно деньги, но активировать аккаунт это 10руб… Лучше чем принимать тонны спама или быть «под колпаком».
      • +2
        А телефоны тоже меняете? Потому что с одним и тем же IMEI вы всё равно «под колпаком».
        • +1
          Можно подумать, всякие вконтакты знают IMEI…
          • +1
            Если вы пользуетесь мобильным клиентом ( на андроиде в частности, айос вроде не отдает imei ), то может и знать.
        • 0
          Все находится у активатора. И симка, и телефон. Я ему пишу по аське, например — «прими смс». Он вставляет симку в телефон, ждет, посылает мне текст смски по той же аське.
          • НЛО прилетело и опубликовало эту надпись здесь
            • –6
              А как он это узнает не имея того же имени пользователя\имейла?
              • НЛО прилетело и опубликовало эту надпись здесь
                • +2
                  Только что из раздела восстановления пароля ВК:

                  Восстановление доступа к странице
                  Пожалуйста, введите в целях безопасности Фамилию, указанную на Вашей странице.

                  Так что тут можно еще погадать.
                  • +1
                    Все делается проще — покупаете виртуальный номер (лайфхак. некоторые зарубежные операторы предлагают триал на пару дней), ставите софтину-мессенджер на компьютер, принимаете СМС и забываете про номер. Вуаля, анонимный аккаунт готов)
                    • +2
                      А есть ссылка на триал?
                      • 0
                        давно это было все… Поищите в гугле сервисы запросом free uk virtual numbers — тут ВК тоже не промах: регистрируемся через прокси с выбором английского языка + не все виртуальные номера срабатывают — контакт тоже мониторит их списки
                        • +1
                          Жаль, тоже понадеялся на рабочий вариант. Была необходимость в аккаунте пару месяцев назад, достаточно долго шерстил всевозможные варианты виртуальных номеров, но так и не нашел рабочего.
                          • +1
                            Рабочий вариант-то по-любому есть — я тоже ОЧЕНЬ долго искал. Тогда повезло и наткнулся на итальянского провайдера. На тот момент помню умные люди советовали искать такие сервисы в Китае — контакт их хорошо переваривал. Было это, кстати, как раз пару месяцев назад
                            • +1
                              Да нет, я верю, что они есть, просто сейчас с этим туже, чем тогда, когда вы пробовали. Теперь дешевле и быстрее купить симкарту, как предлагается во втором комментарии, чем тратить часы на поиск и не найти, благо они дешевые.
                            • 0
                              не на правах рекламы — anveo.com предлагает виртуальные номера телефонов, многие из которых (в зависимости от страны) умеют принимать смс. сам пользуюсь этим сервисом уже 3 года, пока только пара отправленных смс не дошла до адресата.
                      • 0
                        VoxOx. Не триал, дают номер в США и доллар в подарок.
                    • 0
                      В таком случае нужен не виртуальный номер, так как на него послать смс можно только с реального номера. А нужен хостинг сим карты, многие сервисы сейчас такое предоставляют. Стоит в среднем от 1500 до 2500 в месяц такая услуга.(На хостинге естественно будет сим карта купленная сервисом и не имеющая к вам никакого отношения.)
            • +1
              У активаторов очень много клиентов с подобными просьбами, им просто ненужно это. И портить себе репутацию — себе дороже ) Но, конечно, я скорее смотрю на это со своей точки зрения, так как не использую контакт так, как положено, для меня это скорее какая-то полуделовая переписка / музыка / видео. То есть, конечно, если бы я хотел там постить свои фотки, признаваться кому-то в любви или что-то в этом роде, то я, безусловно, не доверил бы кому то номер телефона. Я бы просто купил у барыг пару десятков левых симок и регнул сам на левые номера.
      • +4
        Или, можно пользоваться сервисами активаций. Например sms-area.org или sms-reg.org. Найти левый номер уже давно не проблема.
        • +2
          Поправлю sms-reg.COM — проверено годами. Пользуюсь, советую так как очень большой выбор номеров и постоянное наличие.
          • 0
            "...© Copyright 2012-2013..."
            Сервис-то новый, на ачате еще его рекламили одно время, о каких годах идет речь?
      • 0
        Как-то у вас сложно все.
        2 строчки на PHP, шаровый хостинг и www.nexmo.com справляются с задачей на ура.
        • 0
          Если я правильно понял nexmo — это для рассылок а не для получения. По крайней мере где то несколько месяцев назад я им пытался воспользоваться — возможности принять смс я там не видел. Если не прав — поправте.
          • 0
            Да, вы ошибаетесь. У них есть возможность указать собственный API-url, куда nexmo будет отправлять все принятые на номер sms-ки.
            • +1
              Простите, а можно поподробнее об этом?
      • 0
        Если симкой долго не пользоваться, она перестает действовать. И что делать, если для какой-то операции надо будет ввести код, который приходит в смс на номер, которого уже нет? :)
      • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      Если писать многопоточный парсер, то ничего не замедлит.
      Кстати, и по деньгам выйдет не так много. Вон, сервисы антикапч уже снижают цены — на pixodrom.com написано, что у них 0.7$ за 1000 капч.
      А если учесть, что капча вылезает не каждый раз, то выходит совсем недорого за ту же тысячу спарсенных номеров
      • +2
        Как это не замедлит? Капча очень даже замедлит. Антигейт / прокси — все это будет очень тормозить процесс даже если писать многопоток на мультикурле.
        • 0
          Ну, хорошо, немного замедлит. Но.
          Распознавание капчи на пиксодроме пусть будет 6 сек в среднем (для простоты), тогда будет 10 капч в минуту.
          Ставим 100 потоков, и за 1 минуту получаем 100*10 = 1000 проверенных профилей. По-моему, вполне неплохо.
          Ну, это грубо, но смысл я думаю ясен.
          Увеличение проверок будет прямо пропорционально количеству потоков и мало зависит от капч. Тут больше зависимость от скорости прокси.
          • +1
            Скажу по секрету, что капча появлялась после 4-5 попытки получения данных, поэтому достаточно было всего лишь работать через прокси. Прогнал just for lulz по базе одного оператора — неплохая статистика определения. Далее тупо поиск по имени и городу и сравнение аватарки — утечка, однако! Неслабая утечка, хотя и не такая уж опасная)
            • +1
              На ней можно неплохо поднять ) Думаю мы еще услышим о смс-рассылке с именами пользователей )
              • +1
                Можно и без этого неплохо поднять, а вот передача личных данных 3-им лицам — до 500 тысяч штрафа или 1 год) Так что лучше не пренебрегать законом) Хотя в своих интересах согласно этому закону вроде как можно работать
        • +2
          Не замедлит ничуть, если писать не «многопоток», а нормальный асинхронный код. Сервисы антикапч позволяют хоть весь миллион капч поставить на распознавание одновременно — а людей там работает много, параллелизм хороший получится.
          • +1
            Простите, а в чем разница многопотока и асинхронной работы?
            • +2
              В накладных расходах. При создании нескольких потоков у нас будет слишком много context switch'ев, + на каждый поток системой выделяется порядка 4 мегабайт на стек.

              В итоге асинхронная реализация в 1 потоке имеет все шансы (и на практике так и происходит) работать быстрее, чем тупая реализация, в которой каждый поток посылает запрос, затем ждет ответа.
              • 0
                Ну в данном случае вы затрагиваете тему именно ресурсов. Там эти различия во времени не являются значительными, так как среднестатистический впс парсит 1к страниц за 2-5 секунд на мультикурле. Наверное можно даже это дело как-то разогнать на 0.5-2 секунды, но это не такая большая разница во времени, как постоянная нужда ломать капчу или менять проксики. Там 6-10 секунд вполне обычное дело.
                • 0
                  В данном случае лично я говорил о том, что число одновременно ломаемых капч ограничено весьма слабо. Таким образом, за 6-10 секунд будет сломана не одна капча, а все капчи.
    • 0
      на этом сайте можно найти страницу по аватарке
  • +12
    Почему сюда написали, а не представителям ВК?
    • +12
      Краудсорсинг…
    • +10
      Я удивлен, что на хабре еще нет этой новости, так как все твиттеры и развлекательные порталы забиты обсуждением этой дыры. Скорее всего представители ВК уже в курсе.
    • –8
      Ну, например, потому что куда хочет — туда и пишет? Правило «сначала написать администрации» придумали людишки, которые, как правило, ни одной проблемы связанной с безопасностью в своей жизни не нашли, и зарепортить её не пытались (скажем так, это не всегда так просто, как кажется). Более того, если вы придумали себе какие-то странные правила — это не значит, что другие люди тоже руководствуются этими правилами.
  • +8
    В Facebook абсолютно такое же поведение и без мобильной версии сайта… Ещё и показывает часть email
    • +5
      Разница в том, что вконтакте обязательно указывать мобильный телефон при регистрации, а в фейсбуке — нет, да и парсить цифровые комбинации с известными префиксами и фиксированной длиной не в пример проще.
    • +2
      Просто вводишь чужой email с левым паролем и получаешь имя и фамилию, а также аватар.
      • 0
        Даже этого не нужно уже. Просто в поиске фейсбуке вводишь email и получаешь пользователя. Более того даже по номеру телефона определяет!
      • 0
        А владельцу приходит письмо, что он входил с неправильным паролем.
  • +3
    Определить личность можно не только по номеру телефона, но и по email.
    • +3
      E-mail не получится перебирать последовательно посимвольно, а номера, зная занятые номерные ёмкости, гораздо проще.
  • –18
    Разве это можно назвать утечкой ПД? ФИО вконтактике, это не 100% имя по паспорту. А аватар вообще ничего не говорит. Юридически контакт дает возможность сопоставить ник и аватар из своей базы, которые не являются ПД, по предоставлению ПД — телефона или емейла.
    • +26
      В суд может с этим не пойдешь, но сопоставление номера телефона и учетной записи пользователя ничем иным, как утечкой персональных данных не является. Номер телефона является закрытой информацией для служебных нужд и удобства самого пользователя, возможность неавторизованного сопоставления закрытой и открытой информации и есть утечка.
      • –18
        Аватар и ник, насколько мне известно, данные не скрываемые никакой настройкой контакта. Т.е. они всегда доступны.
        Номер телефона вам не выводит контакт, вы его знаете сами, заранее.
        А на выходе получаете и так доступные данные пользователя.
        Тут вопрос относительно того, как это квалифицировать очень глубокий и я бы всё же это пока утечкой не называл. :)
        • +7
          Попробую перефразировать. Введя номер телефона 123-45-67, ВКонтакте ответит нам:

          Пользователь не найден.
          Пожалуйста, убедитесь, что Вы правильно ввели телефон, email или логин.
          Если Вы не помните никаких данных, Вы можете нажать сюда


          Т.е. такого телефона нет и нужно искать дальше. Как только находим валидный номер телефона, мы получаем это:

          Аватар | ФИО
          Если это не Вы, нажмите здесь »
          Для восстановления доступа к странице мы вышлем код на номер +7 123 456 78 90.


          В зависимости от ширины канала и кривизны кода, через n-времени мы получаем наиболее полную и правильную базу телефонных номеров, которую можно использовать в своих не интересных целях.

          Если это не является утечкой данных, то тогда чем? С таким же успехом, на Красной площади можно написать «СМС слать сюда»
    • +5
      Персона́льные да́нные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу;.

      Но как бы да, теоретически Контакт не является достоверным источником. Фактически же это действительно чувствительные данные.
    • +14
      Есть еще другая сторона. Спарсив базу по всем комбинациям телефонных номеров можно узнать, например, телефон Павла Дурова или Саши Грей.
      • +2
        Которого из? Насколько помню, у ВКонтакте на каждую известную личность было минимум 20 профилей.
        • +7
          Обзвонить 20 номеров != обзвонить ~10^9 номеров. А еще можно отсеивать по кодам.
        • +1
          там есть официальные аккаунты, прошедшие проверку и обозначеные специальной меткой.
      • +2
        ЕМНИП, после объявления «конкурса» про Telegram, номер Дурова открыто висел на странице с описанием… Так зачем себя утруждать?
        • 0
          Учитывая тот факт, что страница ВКонтакте зарегистрирована не на него, осмелюсь предположить, что номер этот был заведен только на время конкурса (что естественно).
    • +11
      Согласно пунктам 4.3, 4.4, 5.1 правил пользования Вконтакте, пользователь соцсети обязан предоставлять при регистрации достоверные и актуальные данные, в числе которых, в том числе — фамилия и имя. Также в правилах прямо указывается, что пользователь обязан поддерживать эти данные в актуальном, достоверном состоянии.
      • –10
        Отвечу, как среднестатистический пользователь вконтакта: «И чо?»
        • +14
          И то, что это даёт ответ на вопрос:
          Разве это можно назвать утечкой ПД?

          Ответ: да, можно.
          • 0
            «В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные». Наверняка в соглашении есть пункт с таким согласием.
            • +6
              В рамках 152-ФЗ требуется письменное согласие, а не галочка в интернете.
              • +2
                Вконтакте ссылается на пункт 5 части 1 статьи 6 ФЗ № 152, в соответствии с которым согласие субъекта персональных данных на обработку его персональных данных не требуется:
                5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
            • +1
              Наверняка в соглашении есть пункт с таким согласием.

              Я же выше вам дал ссылку на полный текст — лень почитать? Нет там такого пункта. И даже наоборот, есть противоположный по смыслу пункт 4.8:
              Администрация Сайта принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения. Администрация предоставляет доступ к персональным данным Пользователя только тем работникам, подрядчикам и агентам Администрации, которым эта информация необходима для обеспечения функционирования Сайта и предоставления Услуг Пользователю. … Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях
          • –4
            Правила контакта — это ничто и юридически и по факту.
            Да, имея емейл и/или телефон, можно пополнить базу спам-знаний очень неплохо. И это действительно плохая особенность данной фичи контакта.

            Но это не утечка персональных данных, не надо дезинформировать людей. Персональным данным дана ясная трактовка в законе. Выше я достаточно это обосновал.
            • +6
              Правила контакта — это ничто и юридически и по факту.

              Совершенно неверно, это условия пользования сервисом, и опираясь на эти правила Вконтакте не раз выступал в судах (в частности по спорам насчёт пиратского контента), и суд эти правила принимал в качестве довода.

              Персональным данным дана ясная трактовка в законе

              Пункт 1, статьи 3 ФЗ № 152-ФЗ:
              1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);


              Имя и фамилия, а также номер телефона, которые Вконтакте требует при регистрации, причём требует достоверные и актуальные, а также обязывает пользователя поддерживать их в актуальном состоянии — это персональные данные, полностью соответствующие определению этого термина в законе.

              Но это не утечка персональных данных, не надо дезинформировать людей

              Извините, но это как раз вы дезинформируете людей. Это утечка ПД.

              Выше я достаточно это обосновал.

              Нет.
  • +33
    отпарсить самую большую базу телефонных номеров России и СНГ


    Добавить сюда имя человека в СП и полетят Смсочки:

    Люся, любимая, это Вася, я попал в беду, скинь сотку на этот номер, потом объясню!
    • НЛО прилетело и опубликовало эту надпись здесь
    • +7
      А если распарсить граф друзей/родителей — можно вообще адовые схемы проворачивать ;)
  • –38
    Какой желтый заголовок. Это не дыра.
  • +120
    Автор, спасибо!

    С помощью этого способа я узнал, что за козел мне звонил в новогоднюю ночь, оскорблял и настроение испортил!

    Спасибо! Добра тебе!
    • +3
      Нечто подобное сейчас пытаюсь найти ;)
  • +6
    Твоюж мать, можно подумать мне смс спама мало.
    Пашка, доколе?
    • –7
      Причем тут смс-спам?
      • 0
        При том, что SMS-спам также использует номера мобильных телефонов.

        Дык вот мало того, что базу данных с номерами мобильных телефонов можно использовать для SMS-спама, так теперь для неё ещё и вот эдакое употребление нашлось — данные участников социальной сети ВКонтакте собирать.
        • 0
          Вы же понимаете, что для того, что бы использовать «дыру» в данном контексте — надо знать номер телефона?
          Это равносильно рассылке спама используя номерную емкость с сайта россвязи.
          А вот то, что данные можно получить по номеру — плохо. Но смс-спам тут не причем, как мне показалось. Дыра не является «катализатором» с началу спама. Вот о чем я написал.
          • +1
            Эта дыра является катализатором к рассылке таргетированного спама)
  • +3
    ВК не выдаёт ссылку на профиль страницы, но Гугл поиск по картинке (аватарке) быстро решает эту проблему.
    • +1
      Если пользоваться массово, то есть шанс что гугл забанит за слишком большое число запросов.
    • +18
      Маленькая подсказка: в URL фотографии указан id пользователя VK.
  • +14
    Кто-то ещё удивляется, почему люди не доверяют «телефонной» авторизации вконтакте?
    • +7
      С этой телефонной авторизацией вообще цирк. Вот, расскажу пока свежо (события разворачивались буквально вчера и сегодня). Меня сегодня пол-дня нет-нет да и пробьет на хи-хи, как только вспомню :)

      Был у меня день рождения, поздравления валились со всех сторон, одно из них пришло ВКонтакте (в который я последний раз логинился уже и не помню когда, наверное как раз год назад, на прошлый ДР, а перед этим — на позапрошлый). Надо поблагодарить человека, кликаю — просит залогиниться (ага, у меня даже куков с того времени не сохранилось). Ввожу пароль — не то, ввожу другой — не то. В общем, забыл пароль. Ладно, думаю, фигня вопрос, как раз для таких случаев умные люди придумали процедуру восстановления по e-mail… Но умные люди и представить не могли, как такую процедуру могли извратить разработчики ВК. Телефона, который был когда-то введен (опять же, в добровольно-принудительном порядке) у меня давно нет — это был рабочий с прошлой работы. И понеслось…

      1. Есть форма на случай отсутствия доступа к телефону. Старый телефон, новый телефон, старый email (щито?), новый email (щито?), страна регистрации, город регистрации, год регистрации (кто-нибудь помнит?), фото документа (!), фото на фоне страницы восстановления (!!). К этому моменту я уже слегка прифигел, но хрен с вами — очень уж хочется поблагодарить человека за поздравление (и человек хороший, и не пересекались давно). Заполняю, замазываю лишнюю информацию на паспорте, оставляю только имя и фото, отправляю.

      2. ВК присылает запрос, что им не нравится скан паспорта, а нужно сфотографировать немного сбоку, держа в руке. Я уже конкретно офигеваю, но все еще хочу поблагодарить человека… Фотографирую, снова замазываю все номера и прочую информацию кроме имени и фотографии, отправляю. В качестве комментариев отправляю старый анекдот про перчатки и унитаз. Через полчаса мне приходи в голову идея, какой у меня мог быть пароль, пробую… и он оказывается верным! Отлично, логинюсь и благодарю человека. Подумываю об удалении страницы — нафиг она мне вообще?

      3. ВК присылает запрос, что им теперь не нравится мое фото на фоне страницы восстановления — недостаточно четкое, видите ли… Тут я окончательно теряю терпение. Пишу ВСЕ, что я думаю об их сервисе, и вместо нового фото присылаю фото «фака» крупным планом. Удаляю свою страницу нафиг (давно уже хотел, да все повода не было, а тут как раз подвернулся).

      4. Через 2 минуты ВК присылает сообщение, что мой запрос на восстановление пароля одобрен. И вот тут меня пробивает на ржач :))) Для интересующихся — вот скан сообщения, которое я им отправил в ответ на второй запрос, и после которого они одобрили восстановление пароля. Извиняюсь за некоторое количество нецензурных слов, но, как я сказал выше, я высказал ВСЕ, что думаю об их сервисе (кликабельно):
      image

      Похоже, «фак» — это магический вконтактовский жест, дающий доступ к секретным уровням…
  • 0
    Было бы куда забавнее если бы наоборот.
    Аля, вводим ID вконтакта, получаем номер телефона и Дмитрий Анатольевич сразу напрягся.
    • +2
      Сделайте перебор по номерам телефонов с префиксами российских операторов и получите себе базу вида номер-вконтакт, а там уже ищите кто вам нужен.
      • +1
        Лжедмитриев бьюсь об заклад, очень много, как и однофамильцев. Тем более, может я и ошибаюсь, но у гос. чиновников едва ли стандартный префикс.

        Вообще это лишь капля в море, смс-спам и так достал выше крыши, пора каким-нибудь хитрожопым блокиратором незнакомых номеров обзаводится.
  • +1
    Честно, я не в курсе, потому вопрос — кроме как для первичной регистрации (или привязке, если аккаунт уже существовал на тот момент) и восстановления пароля, номер телефона где-нибудь еще используется? В том плане, что бы воспользоваться «одноразовым» номером/симкартой.
    • +1
      Для создания приложений и проверки, что это действительно вы зашли с Германии, когда минуту назад были в России
    • +1
      Можно настроить оповещения о сообщениях по СМС.
    • 0
      >В том плане, что бы воспользоваться «одноразовым» номером/симкартой.

      Потом замучитесь менять номер, когда он (не дай Б-г) вам вдруг понадобится для восстановления пароля
  • +6
    Спасибо! Пробил всю свою телефонную книгу. Особенно уделил внимание неизвестным номерам :)
  • +1
    красотень
    одно радует: удаленные аккаунты не находятся (проверил по своему номеру сотового)
  • +1
    Уже вроде пофиксили. Теперь после ввода телефона требуют еще и фамилию.
    • +4
      Надо именно через мобильную версию m.vk.com
      • +1
        Ах да, этот момент я прощелкал… Пардон.
  • +2
    Какой хай был когда утекали БД ОПСОСов и как в полном объеме БД утекать перестали? Сколько лет назад это было?
    • +3
      В начале 00-х это было последний раз.
      МТС сменил поставщика биллинга, после чего проблема ушла.
      Как поступили другие операторы — не знаю, но больше таких проблем не возникает.
      Уж очень серьезные люди были недовольны в своё время.

      Вы понимаете, увести базу ОПСОСа снаружи нереально по чисто физическим причинам. Сетевая безопасность там лучше, чем во многих банках. Способ только один: сотрудник ОПСОСа или компании-подрядчика, находясь на площадке ОПСОСа, выполняет select по базе (причем, не по боевой, а по тестовой) и пишет результат на внешний диск. Но USB-порты на компах отключают.
      • +1
        Т.е. скучающий менеджер в салоне «пробить по базе» не может? Ну или по крайней мере не массово?

        Тут с другого конца зашли, хотя справедливо что кому надо не стали указывать постоянно действующий номер.
        • 0
          Тут еще вопрос, сколько этих самых баз, и как они разделены… У МТС, например, точно разные базы по регионам.
        • 0
          Может, но есть софт для контроля БД, кто чего запрашивал и какого фига. А при наличии грамотного безопасника или боле продвинутого софта такой вот менеджер сразу попадет на карандаш
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Ну это сложнее:
      1) пользователь должен установить приложение
      2) вы должны прогнать всю базу номеров
      3) получите только его друзей.
      А тут один номер, почти один контакт.
      • +1
        Кто мешает пользуясь API загрузить список сгенерированных по правилам номеров любой длины, а полученный вывод оформить в удобную табличку?
        • +1
          Если я правильно понял, вам надо:
          1) Сделать приложение с большим охватом
          2) для каждого пользователя пробить весь список номеров за исключением, быть может, всех уже найденых.
          3) Если у пользователя нет друга установившего ваше приложение вы его номер не получите.
          • +3
            Нет, надо просто скормить список номеров, пользователей он вам вернет сам. Там же написано, что апи запрашивает только один параметр телефонной книги — номер, наивно предполагая, что это и правда человек из вашего списка контактов.
            • 0
              метод доступен только десктопным приложениям — ничего у Вас не выйдет. Если, конечно, реально не сделать приложение с очень большим охватом типа оффициального мессенджера от Вк, а в нем на данный момент всего 7,5 миллионов пользователей. Сомневаюсь, что можно создать что-то мощнее
              • 0
                Зачем охват? Достаточно самому пройти авторизацию и передать искомый номер в account.importContacts, который вернёт инфу о человеке с этим номером.
  • +29
    Прекрасно, спалил левый аккаунт подруги.
  • +21
    Пробил номер, с которого мне угрожали. Забавно-с. :)
  • +4
    Нашел несколько неопозннанных контактов. Полезная фича!
    • +10
      да, и я тоже узнал кто такие Надя1, Надя2 и т.д.
      • +25
        Главное, чтобы жена не узнала, кто такая «Сергей Иванович».
  • +14
    Представляю сколько анонимных признаний в любви сейчас раскроется =)
    • +10
      Черт, надо было придержать до 14.02
  • +1
    Похоже, уже пофикшено. Если поискать подряд несколько номеров, то помимо капчи начинает спрашивать фамилию человека, указанного в профиле, привязанном к данному номеру.
    Конечно, это не спасает от точечного поиска, только от массового сбора данных.
  • +3
    А где же остальные ИМХО самые главные пункты 5 и 6 в инструкции? :)

    5. ???????
    6. PROFIT
    • +3
      Так вот уже отписались у каждого свой п.5 но у всех PROFIT.
  • +4
    Походу уже прикрыли, теперь показывает только аватар, никаких каптч и прочего.
  • +4
    Похоже больше не получаем имя, только маленькую аватарку в 40 пикселей.
    • +4
      Да, закрыли буквально пару минут назад.
    • +3
      Для поиска по картинкам в гугле достаточно, только что так нашёл владельцев 2-х неизвестных номеров.
  • +4
    >>Дыра
    Автор, вы чего? Держите скриншот восстановления аккаунта гугла
    • +3
      Это где такое? Захожу сюда, при выборе «I don't know my username» и вводе номера телефона предлагают отправить на него сообщение.
  • +3
    В Facebook выдает имя пользователя по телефону.
    www.facebook.com/recover/initiate
    Учитывая, что в VK ник уже не показывает, получил имя из FB и авку из VK.
  • +2
    Кстати, указанный выше поиск по картинке через поиск Google помогает найти человека и после включения новой защиты, если у него оригинальная аватарка.
    А одного человека не смог найти, т.к. у него на аватарке стояло растиражированное фото Мерседеса. Т.ч. защита от поиска — ставьте аватарки Чебурашки и т.п. на VK.
    • +3
      Как выше упоминали, в пути к аватарке есть 3 последние цифры ID пользователя, то есть сначала вы сужаете поиск до аватарки, а потом отбираете того пользователя, у которого последние 3 цифры совпадают с цифрами в пути выданной основным методом автарки.
      • +1
        Сейчас проверил — нет такого совпадения. Может уже поменяли и тут что-то. Явно кто-то с VK в теме сидит.
        • +3
          Все еще актуально, брать из урла аватара надо последние 3 цифры во втором блоке, который начинается с буквы v и далее цифрами. Эти три цифры будут последними 3-я цифрами id пользователя.
          • +1
            Так пересолить URL картинок надо поболее времени потратить, чем поменять шаблон страницы восстановления пароля.
            • +3
              Выигрывает только казино тот, у кого нет аватарки. Нет аватара — нет урла.
              • +1
                Почему-то попадаются URL такого вида: http://cs<DOMAIN_ID>.vk.com/upload.php?proxy=<loooong string>

                Отсюда уже никакой ID не подберешь.
                • –1
                  Мне тоже.
  • +2
    Уважаемые хабровчане, мне кажется или пост ведет себя аномально? Периодически то исчезая, то появляясь в топе. Это особенности системы скоринга, мой локальный глюк или происки ЗОГ?
    • +9
      Наверно стоит радоваться что он есть вообще. Вчера видел отличный наброс на Билайн, который живо исчез.
      • +2
        Уже убрали фамилию, поэтому пост наверное останется в топе.
        • +2
          Это не проблема, по аве через поиск картинок в google прекрасно находится анкета пользователя))
          • +1
            Если только там не что-нибудь вроде «Моны Лизы».
            • +2
              Если при поиске по картинкам добавить «site:.vk.com», задача может быть значительно облегчена.
    • +1
      Я аналогичное наблюдаю уже с месяц, если не больше. Когда некоторые посты просто исчезают из ленты при обновлении страницы. Через некоторое время обновишь — они тут как тут.
      В поддержку писал, но не помогло. Это глюк Хабра, а не ваш локальный.
  • +1
    У Фэйсбука была похожая уязвимость.
    • +5
      А почему была? Вроде как сейчас аналогичная ситуация.
  • +1
    Интересно, все-таки кто-нибудь скачать всю базу успел (и молчит) или нет?
    • 0
      www.businessinfo.ru/ — может у этих за деньги появится.
  • +2
    image
  • +2
    теперь только аватарку показывает, спалили фичу.
  • +2
    Вот вам ещё «уязвимость» в копилку — скрытый возраст пользователя можно узнать, поиграв с диапазоном возраста в поиске. Скорее всего так же и некоторые другие поля можно узнать.
  • +8
    Нашёл аккаунт бывшей. Узнал ответ на главный вопрос: ушла ли она тогда налево. Ну и зачем я это сделал?
    • +2
      А я обнаружила аккаунт, владелец которого клялся, что удалил страницу в VK.
      Спасибо, ВКонтакте, помог снять лапшу с ушей.
    • +6
      Отпусти её, бро
      • +1
        Отпустил давно уже. Просто считал её самой честной девушкой в мире. Это общее разочарование в людях, конкретный человек тут не имеет значения.
  • +3
    Вот вам еще один лайфхак: Добавляем жертву в список контактов. Заходим в WhatsApp и/или Viber. Если человек пользуется этими месенджерами (а армия таких пользователей растет стремительно), то мы можем запросто увидеть фотку человека в неплохом разрешении, а иногда и даже узнать имя.

    • 0
      а разве ты не должен быть добавлен в контакты у этого человека?
      • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Добавляем в телефонную книгу — а то «список контактов» не совсем понятно, о чем речь.
      • +2
        Телефонная книга что в Android, что в iOS зовется именно Контакты. Те, у кого стоит WhatsApp или Viber знают, что эти мессенджеры не имеют собственного списка контактов и используют системный. Последовательность действий «добавляем в список контактов -> заходим в whatsapp/viber» явно подразумевает, что мы не запускаем мессенджеры для каких-то манипуляций с контактами, а предварительно добавляем номер телефона в какой-то посторонний список, очевидно, что это системный список контактов.
        • –1
          Так как пост об VK, и там есть контакты, я первым делом подумал, что надо добавить человека там, хотя у меня стоит Viber и я знаю как он работает. Да и вопрос rdntw, мне показалось, того же рода.
          • 0
            В контакте друзья же, вы что. Какой там список контактов?
  • +1
    мне любопытно, пока все обсуждают что с этим делать, кто-нибудь уже отпарсил? :)
  • +6
    Имя и фамилия уже не отображаются, только аватарка.
    • +10
      вот я слоупок…
  • +1
    Если спарсить такую базу даже в виде «номер и фотография», без имени, то можно уже неплохо повышать конверсии при регистрации в проектах, связанных с мобильной авторизацией/регистрацией.

    Представьте себе: регистрируетесь в сервисе, а он сам за вас уже заполнил все поля, не спрашивая ни социальных сетей, ничего кроме номера. Вопросы конечно возникнут в голове (и то не у всех), но все равно приятно :)
  • +2
    Говорят что этой «дыре» уже почти год. Просто сегодня она получила широкую огласку.
    • +4
      Долго работала. Весьма удобно было :(
  • –3
    Ну кто-то узнает мой номер, дальше что?) Ну поспамит этими кодами… Не понимаю вокруг чего такая супер-шумиха?
  • +27
    А я нашел кто мне слал СМС вида «Андрюша, я люблю тебя, Ксюшенька» в 2004 году. Оказался чувак знакомый :-)
    Номер ждал своего звездного часа 10 лет в текстовом файлике.
    • +3
      О времена, о нравы...)
    • +3
      А я не нашел владельца незнакомого мне номера, полгода назад назвавшего меня проказником в смс и предлагавшего «поиграть».
      • +3
        Не отчаивайтесь.
    • +7
      Я сначала плюсанул, а потом у меня возник вопрос. А оно тебе нужно было? Доволен? Ещё вчера у тебя было приятное воспоминание о тайной поклоннице, а сегодня…
      • +1
        Не жил и не живу глупыми надеждами. Да и поклонниц за 10 лет было достаточно. Но гештальт закрылся, да.
        • 0
          Я про надежды ни про глупые, ни про умные вообще не говорил. Боюсь представить сколько ещё 10 летних висяков у Вас ещё накопилось в ожидании новых технологий. По мне так такие гештальты можно намного быстрее закрывать. Это всё в голове.
    • +1
      Сработает, если у чувака давно этот номер. Иначе может иметь место ротация устаревших номеров :-)
  • 0
    Интересно хоть кто-то нашел таким способом своих пропавших родственников, маму, папу и т.д.
    Был бы красивый PR-ход от ВК представлением такого случая — типа: дыра, да, но так сын нашел свою маму…
    (и музыка из м/ф «Про мамонтенка»)
    • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      А что мешает позвонить по имеющемуся номеру телефона? Или надо обязательно узнать имя-фамилию мамы, папы, брата по номеру телефона?
  • +4
    Сначала думал, что информация то не особо критичная. Номера телефонов можно найти и в других источниках. Но если подумать. Имеем номер телефона, соответствующий пользователю вконтактика. По телефонному справочнику находим ФИО и адрес прописки. А дальше, смотря какие базы сможем найти в пиринговых сетях города, где наш пользователь живет. Скорее всего найдем паспортные данные нашего пользователя, информацию о недвижимости, автомобиле, штрафах, возможно кредитную историю, судимости. Еще немного, и мы узнаем все о его родственниках.
    Собственно проблема не в том, что можно получить привязку пользователя Вконтакте к номеру телефона, а в том что сеть полна уже утекших персональных данных и сопоставив их, получаем практически всех пользователей как на ладони. Не всех — только по тому, что имеющиеся в сети данные не первой свежести.
  • +1
    Мне кажется, или уже всё пофиксили? Сейчас выдаётся только очень маленькая ава, что мало что даёт. Вот если бы id где-нибудь промелькнул…
    • 0
      Аватара мне тоже многое дала — сохранил ее, а потом поискал через поиск картинок в гугле — первая же ссылка вела на аккаунт.
  • –4
    Кг/ам
    Это работает как минимум с лета, в API есть метод, чтобы узнать юзера по контактам, в facebook всегда так было и никто не пикнул
  • +4
    Базой — то поделитесь) Ведь слили уже, полюбому)
    • 0
      Дайте две!
      • 0
        Вот и спамеры спалились.

        Кстати, автора топика тоже можно поблагодарить за содействие в распространении спама.
        • +1
          Автор топика взял эту уязвимость из открытых источников, ее популяризация же привела к оперативной реакции владельца ресурса и частичному устранению уязвимости. А спамеры имели информацию об этой и других уязвимостях задолго до появления ее в открытом доступе.
  • –1
    Что-то нефига не показывает данные — images.vfl.ru/ii/1389849766/43702bc0/3994332.jpg
  • –8
    Прочитал пост, нашёл свой метод.
    Открываем m.vk.com, забыли пароль, вводим телефон. Имя не показывает, только фотку-аватарку.
    Остальное работает если есть аватарка и посты в лентах/стенках.
    Копируем URL картинки-аватарки и делаем поиск по картинкам в гугле. Гугл предлагает нужный профиль.
    Так же вариант не работает, если вместо авы какая нибудь массовая картинка.
  • +1
    не обязательно телефон
    я так по адресу электронной почты людей искал
    принцип тот же

    1. Жмем «Забыли пароль?»
    2. Вводим e-mail
    3. Получаем имя и аватар
    • 0
      Не так ценно по произвольной почте узнать человека, как по произвольному номеру телефона.
  • 0
    Пока вы тут болтаете — на том самом сайте уже предлагают за 1000 рублей купить базу на 5 млн. пользователей :)
    • 0
      Эх, жаль только для России.
    • 0
      А что за «тот самый сайт»? И, базу скачанную именно из ВКонтакте?
  • –3
    На самом деле всё еще проще, после получения аватара пользователя идём в Google Images www.google.de/imghp
    И для многих пользователей получаем ссылку на профиль.
  • –2
    засудить их надо за неполноценную охрану персональный данных. меня бесит, почему я не могу удалить свой аккаунт по запросу, я имею ввиду полностью удалить — все комментарии, все что есть и их базе данных. по закону я имею право это сделать, но по прпавилам контакта я должен отправить им свой паспорт. какого хрена я должен что-то отправлять? если поступил запрос с моего аккаунта, они должны все удалить. быдло
  • +1
    Дырку закрыли только в мобильной версии сайта, в официальном приложение для телефонов на Android все еще проще, добавляем интересующий нас номер в список контактов, заходим в приложение ВКонтакте и переходим в поиск друзей по списку контактов в телефоне. Вуаля.
    Вчера тестировали, все работает на ура.
  • –1
    Чтобы найти страницу ВКонтакте по номеру телефона, можно воспользоватся сервисом:
    poisknomera.ru/vk_search.html

    100% гарантия нахождения номера даже если страница удалена.
  • 0
    Люди, которых волнует состояние их персональных данных не пользуются социальными сетями. И сервисами где надо палить мобильник заодно.
  • –1
    на to4no.ru можно найти страницу в вк по аватарке
  • 0
    forum.antichat.ru/threads/422386 и тут можно по номеру телефона определить страницу вк
  • –2
    Было отпарсено достаточно много номеров из ВК и продолжаем парсить. На nomer.me можно заказать пробив номера телефона или найти страницу ВК по номеру и наоборот, по id определить номер телефона.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.