Восстановление пароля – хакеры, welcome! / Хабр
Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения безопасности. Как выяснилось, не зря.
Наш исследовательский центр Positive Research посмотрел, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекс. Причем не путем технических атак, а только с помощью социальной инженерии.
Википедия описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов.
Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать.
Назад в будущее. «Вконтакте», Google, Mail.Ru
Нам удалось получить доступ к аккаунтам всех этих сервисов.
В случае с «Вконтакте» и Google выяснилось, что, обладая определенной информацией о пользователе (контакты, фотография, секретный вопрос), можно без труда получить доступ к его аккаунту.
«Вконтакте» уделяют достаточно большое внимание обеспечению безопасности пользователей и придумали свой метод восстановления пароля. Вам даже предложат сфотографироваться на фоне страницы процедуры восстановления пароля с предварительной загрузкой скана документа, удостоверяющего личность. Все бы ничего, но «Вконтакте» используют самое слабое звено для проверки – человека.
Google – примерно та же ситуация. Пароль восстановили довольно легко. Причем после получения доступа к аккаунту Gmail.com в нашем распоряжении оказываются все сервисы, с которыми работает пользователь – от Youtube до Picasa. Например, процедура восстановления пароля была запущена в тот момент, когда владелец учетной записи продолжал работать с сервисами Google: общался через GoogleTalk, загружал файлы с Android Market. Сервисы перестали работать внезапно, без каких-либо предупреждений со стороны Google. Причем подобную атаку не смогла остановить даже двухфакторная авторизация с привязкой к мобильному телефону.
С Mail.Ru ситуация сложнее. Этот сервис также доброжелательно относится к своим пользователям и идет навстречу им во многих вопросах. С одной стороны, это не может не радовать, с другой – предоставляет отличные возможности хакерам.
Здесь общедоступной информации оказалось недостаточно. Тем не менее, после виртуального общения непосредственно с жертвой, которая любезно предоставила нам все нужные данные, доступ к аккаунту был получен без особых проблем.
Вперед в будущее. Facebook
Социальная сеть Facebook продемонстрировала наиболее взвешенный подход, который сочетает заботу об удобстве и безопасности пользователя. Схема защиты не совсем стандартная – привязка к e-mail, привязка к телефону и возможность пользоваться друзьями для восстановления доступа к странице. Причем друзьями должны быть люди, которых вы знаете не 1 и не 2 дня – мы не смогли попасть в список доверенных лиц пользователя даже за две недели активности. В том же случае, если у вас больше нет доступа к почте и секретному вопросу, Facebook сообщает, что ничего поделать не может. И советует зарегистрироваться заново.
Отдельно хотелось бы выделить Яндекс. Это замечательный пример того, как не стоит закручивать гайки.
Нам не удалось получить доступ к аккаунту пользователя из-за слишком суровых требований к процедуре восстановления пароля. Например, увели у вас почтовый ящик с Яндекс.Деньгами. Телефон вы не привязали. Секретный пароль не вспомнили. Служба поддержки требует паспорт. Все пропало. И Яндекс.Деньги, и Яндекс.Почта.
Итак, какие можно сделать выводы:
• функция восстановления пароля – слабое место в системе защиты пользователя массовых онлайн-сервисов;
• пользователи довольно легкомысленно относятся к правилам безопасности и собственным данным, тем самым поневоле оказывая помощь злоумышленникам.
Таким образом:
| ВКонтакте | Получен доступ | Доступ к данным получить несложно, лояльная служба технической поддержки |
| Получен доступ | Доступ к данным получить несложно, лояльная служба технической поддержки | |
Mail. Ru |
Получен доступ | Доступ к данным получить можно, но только после общения с пользователем |
| Доступ не получен | Доступ к данным получить нельзя, Facebook – молодцы! | |
| Яндекс | Доступ не получен | Доступ к данным получить нельзя, но очень жесткие требования к процедуре восстановления пароля |
Действия по восстановлению паролей касались реальных аккаунтов пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекса. Мы проинформировали владельцев этих учетных записей о целях исследования и получили от них согласие на совершение действий с их аккаунтами. После завершения проекта реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми мы работали, также получили уведомления о найденных уязвимостях и предприняли меры по устранению обнаруженных недочетов.
На этом наши исследования не заканчиваются – Positive Technologies продолжает анализировать безопасность социальных сетей и других популярных интернет-сервисов. Результаты новых исследований мы представим на международном форуме по практической безопасности Positive Hack Days, который пройдет 30-31 мая 2012 года в Москве.
Новости – в нашем блоге!
МИД Германии подтвердил данные о блокировке счета Гете-Института в России
https://ria.ru/20230331/gete-institut-1862192010.html
МИД Германии подтвердил данные о блокировке счета Гете-Института в России
МИД Германии подтвердил данные о блокировке счета Гете-Института в России — РИА Новости, 31.03.2023
МИД Германии подтвердил данные о блокировке счета Гете-Института в России
Правительство Германии находится в контакте с российским отделением Гёте-Института после блокировки его счета, сообщила в пятницу на брифинге кабмина страны… РИА Новости, 31.03.2023
2023-03-31T15:23
2023-03-31T15:23
2023-03-31T15:23
в мире
германия
россия
/html/head/meta[@name=’og:title’]/@content
/html/head/meta[@name=’og:description’]/@content
https://cdnn21.
img.ria.ru/images/07e7/03/1f/1862190407_0:220:3250:2048_1920x0_80_0_0_5b03efc8e8149650b66d1ab408c88db6.jpg
МОСКВА, 31 мар — РИА Новости. Правительство Германии находится в контакте с российским отделением Гёте-Института после блокировки его счета, сообщила в пятницу на брифинге кабмина страны представитель министерства иностранных дел Андреа Зассе. «Мы подтверждаем блокировку счёта. По данному вопросу мы находимся в контакте с Гёте-Институтом», — сказала она журналистам. Ранее Гёте-Институт в Москве сообщил на своём сайте, что по техническим причинам отменил языковые экзамены на ближайшие даты. Сертификаты учебного заведения давали россиянам возможность получить рабочую или учебную визу. РИА Новости также обратилось за комментарием в Гете-Институт, однако ответа не получило. В январе официальный представитель МИД РФ Мария Захарова говорила, что Москва будет вынуждена принимать ответные меры, если ситуация вокруг российского Дома науки и культуры в Берлине не нормализуется и ответные меры могут коснуться филиалов институтов им.
Гете в России. Ранее немецкие СМИ сообщали, что прокуратура якобы начала проверку «Русского дома» в Берлине на предмет нарушения закона о внешней торговле.
https://ria.ru/20230331/gete-1862180712.html
германия
россия
РИА Новости
1
5
4.7
96
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
2023
Влада Копылова
Влада Копылова
Новости
ru-RU
https://ria.ru/docs/about/copyright.html
https://xn--c1acbl2abdlkab1og.xn--p1ai/
РИА Новости
1
5
4.7
96
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
1920
1080
true
1920
1440
true
https://cdnn21.img.ria.ru/images/07e7/03/1f/1862190407_0:0:2732:2048_1920x0_80_0_0_7533766ac1f51f9096a087dbcf8f936a.
jpg
1920
1920
true
РИА Новости
1
5
4.7
96
7 495 645-6601
ФГУП МИА «Россия сегодня»
https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/
Влада Копылова
в мире, германия, россия
В мире, Германия, Россия
МОСКВА, 31 мар — РИА Новости. Правительство Германии находится в контакте с российским отделением Гёте-Института после блокировки его счета, сообщила в пятницу на брифинге кабмина страны представитель министерства иностранных дел Андреа Зассе.
«Мы подтверждаем блокировку счёта. По данному вопросу мы находимся в контакте с Гёте-Институтом», — сказала она журналистам.
Ранее Гёте-Институт в Москве сообщил на своём сайте, что по техническим причинам отменил языковые экзамены на ближайшие даты. Сертификаты учебного заведения давали россиянам возможность получить рабочую или учебную визу.
РИА Новости также обратилось за комментарием в Гете-Институт, однако ответа не получило.
В январе официальный представитель МИД РФ Мария Захарова говорила, что Москва будет вынуждена принимать ответные меры, если ситуация вокруг российского Дома науки и культуры в Берлине не нормализуется и ответные меры могут коснуться филиалов институтов им. Гете в России. Ранее немецкие СМИ сообщали, что прокуратура якобы начала проверку «Русского дома» в Берлине на предмет нарушения закона о внешней торговле.
Посольство Германии прокомментировало блокировку счетов Гете-Института
Вчера, 15:00
Я забыл пароль от mail.com. Что я должен делать?
{заголовок}{текст}
{заголовок}{текст}
Забыли пароль? Без проблем! mail.com предлагает вам несколько способов сбросить старый пароль и создать новый.
В большинстве случаев вы можете сбросить пароль самостоятельно, не обращаясь в службу поддержки.
- Перейти на страницу https://пароль.mail.com.
- Введите свой адрес электронной почты mail.com, установите флажок reCAPTCHA и нажмите «Продолжить».
- Выберите один из вариантов.
Доступны следующие варианты восстановления или изменения пароля:
Если вы сохранили дополнительный контактный адрес электронной почты на своем mail.com
настройки и он все еще действителен, нажмите «Отправить», чтобы получить пароль
сбросить код по этому адресу.
Если вы сохранили контактный номер мобильного телефона в настройках mail.com и он еще действителен, нажмите «Отправить», и будет отправлено текстовое сообщение с кодом сброса пароля. отправлено на этот номер.
Информация:Вы увидите эти параметры только в том случае, если вы сохранили альтернативный адрес электронной почты и/или мобильный телефон. число.
Ответив на контрольный вопрос (где применимо) Эта опция появится только в том случае, если у вас есть сохраненный
секретный вопрос в настройках.
После нажатия
Отправить, вас попросят
укажите свою дату рождения, а затем правильный
ответ на ваш контрольный вопрос. Если оба ваших
ответы соответствуют вашей сохраненной информации, вы будете
направляется на страницу, где вы можете немедленно сбросить
ваш пароль. (Если вы получите сообщение об ошибке
после ввода ответа на секретный вопрос,
пожалуйста, проверьте свои записи и повторите попытку.)
В некоторых случаях вы можете просмотреть свой пароль, если он сохранен в веб-браузере. Подробные инструкции см. в разделе Просмотр сохраненных паролей.
Ничего из вышеперечисленного Если вы не сохранили свою контактную информацию в настройках учетной записи или
сохраненная информация больше не действительна, код восстановления пароля не может быть отправлен
автоматически.
Пожалуйста, нажмите Ничего из вышеперечисленного и
Следуй инструкциям.
Восстановить утерянный мастер-пароль для LastPass
НазадВосстановите утерянный мастер-пароль для LastPass
Если ваш мастер-пароль для LastPass когда-либо был утерян или забыт, существует несколько методов восстановления учетной записи, которые можно использовать для восстановления доступа к вашему хранилищу. Если описанные ниже варианты восстановления не позволяют восстановить мастер-пароль, вам потребуется сбросить настройки учетной записи LastPass (чтобы сохранить то же имя пользователя) или создать новую учетную запись LastPass и заново ввести все свои данные.
Имейте в виду, что служба поддержки LastPass не знает мастер-пароль пользователя.
Служба поддержки LastPass не может сбросить или изменить мастер-пароль пользователя, если он забыт.
Устранение неполадок: Прежде чем приступить к описанным ниже вариантам восстановления, убедитесь, что вы временно отключили блокировку всплывающих окон; в противном случае вы должны разрешить всплывающие окна с веб-сайта LastPass при появлении соответствующего запроса на панели инструментов веб-браузера.
Настраивали ли вы ранее восстановление учетной записи с помощью лица или отпечатка пальца в приложении LastPass?
Восстановление учетной записи мобильного устройства позволяет использовать лицо или отпечаток пальца (т. е. биометрию) для iOS или Android для сброса главного пароля с использованием сохраненных биометрических данных вашего устройства.
Использование Android
Использование iOS — Face ID или Touch ID
Вы ранее настраивали восстановление учетной записи SMS?
Использование восстановления учетной записи SMS запустит процесс восстановления мастер-пароля , если хотя бы один из ваших браузеров зафиксировал одноразовый пароль восстановления (который создается путем входа в расширение по крайней мере один раз и/или входа в ваше онлайн-хранилище через веб-сайт LastPass хотя бы один раз).
Следуйте этим инструкциям, чтобы сбросить мастер-пароль с помощью восстановления учетной записи по SMS.
Настраивали ли вы ранее подсказку/напоминание мастер-пароля?
Если вы ранее настроили подсказку/напоминание мастер-пароля (либо во время создания учетной записи, когда вы в последний раз меняли свой мастер-пароль, либо вводя его вручную в настройках своей учетной записи), вы можете попросить LastPass отправить вам подсказку по электронной почте с напоминанием .
Следуйте этим инструкциям, чтобы сбросить мастер-пароль с помощью подсказки/напоминания.
Заходили ли вы в расширение браузера LastPass и/или на веб-сайт LastPass хотя бы один раз из любого браузера?
Следуйте этим инструкциям, чтобы сбросить мастер-пароль с помощью одноразового пароля для восстановления в любом веб-браузере, где вы хотя бы один раз вошли в расширение браузера LastPass и/или онлайн-хранилище через веб-сайт LastPass.
Изменяли ли вы свой мастер-пароль в течение последних 30 дней?
Вы можете вернуться к предыдущему мастер-паролю только если изменение произошло в течение последних 30 дней .
