Адрес для входа в РФ: exler.world

Вконтактик

20.07.2015 14:04  7534   Комментарии (39)

Был у меня аккаунт во Вконтакте - практически неиспользуемый. Я его завел только для того, чтобы иметь возможность смотреть чьи-то страницы в этой соцсети.

Пароль там, разумеется, был вполне устойчивый - я для паролей использую специальный генератор.

Некоторое время назад захожу - а у меня аккаунт каким-то образом подписан на несколько десятков всяких мусорных групп.

Я, чертыхаясь, отписался, проверил еще раз все настройки безопасности - вроде нигде дырок не было. Сменил пароль на еще более устойчивый.

Позавчера захожу - получаю вот такое сообщение.

Они меня, понимаешь, спасли. Спамер использовал мою страницу. Спасибо, ребята, век не забуду ваши доброту. Осталось только выяснить, каким образом спамер мог использовать мою страницу, если я туда не захожу вообще, ни на что не подписываюсь, а пароль - более чем устойчивый, примерно вот такой: %KsfQJ^6MHcH42YhEV.

Разморозил страницу, захожу - а я там подписан аж на 187 групп. И в этом идиотском механизме нет никакой возможности грохнуть это все скопом.

Закончилось это все очень просто: я грохнул свою страничку там и навсегда забыл об этом Вконтактике с его дырявым движком.

К чести Facebook, несмотря на то, что его движок тоже писали явные долбоклюи, за все время существования моей странички меня ни разу не подписали на какую-то группу автоматом. (Ну, точнее, вроде друзьям разрешается такое делать, но у меня друзья вменяемые - на фигню не подпишут.)

20.07.2015 14:04
Комментарии 39

Судя по всему, эти милые люди - разработчики Вконтактика - похоже хранят пароли на сервере в незашифрованном виде? И всякий, нашедший минимальную дырку, может успеть выкрасть все пароли?

Ибо то, об чем пишет Exler, возможно только в 2 случаях:


Хакеры получили доступ к базе, в которой в plain text хранятся пароли
"Хакерами" являются работники поддержки, которые за денежку и маму продадут, не то что выполнят некоторые простенькие действия по просьбе "друзей"

Даже и не знаю, что хуже. Т.е. описание проблем не похоже на то, что это какая-то особо умная атака. Больше похоже на полных, законченых сферичечских мудаков. Либо разработчиков, либо саппортеров, либо маркетантов.
21.07.15 00:28
0 0

iDiver : Насколько знаю, хранятся хеши. Не пароли. Ищите дыру дальше 😄
21.07.15 00:35
0 0

Я вчера залез на какой то псевдоновостной сайт за каким то видео, и неужиданно для себя узнал что этим я лайкнух их страницу на фейсбуке.



Прудирки похоже используют мои куки.
21.07.15 00:20
0 0

Было такое и уменя. Подписали на 187 (почему-то точно такое же число) групп по наращиванию волос и ноктей. Тогда я в каждое из них начал писать, что услуги -- говно, волосы отваливаются, ногти облезают. В течение месяца меня везде исключили и забанили. И больше подобного не было.
20.07.15 23:18
0 0

Подозреваю, что возможно как то мониторится активность аккаунта, при долгом молчании и начинается такая хрень - недавно аналогичное обнаружил у себя в аккаунте однокашников - куда не заходил с десяток лет, оказывается был подписан на кучу групп и порой даже что то там отмечал....
20.07.15 23:14
0 0

А антивирус который они так трогательно пытались вам впарить, часом не Cezurity?
20.07.15 22:35
0 0

Пароль этот нигде не использовался больше? Если да, то могли взломать ту бд и попробовать подходит ли эта связка логин-пароль к контакту, т.к. большинство людей везде использует один и тот же пароль.
20.07.15 19:24
0 0

В Фейсбуке это тоже есть, но пока не массово. Не по группам, правда, а по лайкам. Лайкнув какую-то массовую страницу, в каких-то случаях (или во всех?) оказываешься подписанным на все её апдейты (или на некоторые?). Вот накануне с какого-то хрена я у себя в ленте нашла подписку на манга-картинки Сэйлор-Мун, хотя это весьма далеко от моих интересов, и мой ФБ не публичен ни разу, а токмо для друзей и с самым высоким из имеющихся уровнем безопасности. Поди ещё узнай, чего там от моего имени залайкали.
20.07.15 18:17
0 0

 Ну и правильно, что грохнули . В последнее время что ОК , что ВК - одинаковое Г-О!!!
20.07.15 17:56
0 0

Каким образом такое возможно - мне не понять.

Я ВКотнакте многие годы, и ни разу меня никто не подписывал без моего ведома на группы.
20.07.15 17:34
0 0

Есть скрипт полезный. VkOpt называется. Позволяет многое, в том числе и оптом группы удалить.
20.07.15 17:19
0 0

Ahtoh:
Есть скрипт полезный. VkOpt называется. Позволяет многое, в том числе и оптом группы удалить.


и VKBot примерно то же самое vk-soft.net/vkbot/
21.07.15 10:01
0 0

Никакой подозрительной активности вконтакте не наблюдаю, что на родном аккаунте, что на трех-четырех фейковых, вне зависимости от привязки телефонного номера.
20.07.15 16:30
0 0

Странно, у меня пароль простой и сохранён в браузере, но мою страницу никто не взламывал. Правда дважды замораживали, но за видео 😉 С тех пор никаких сомнительных роликов не добавляю 😄
20.07.15 16:16
0 0

Сестру тоже так взломали недавно, 257 груп, плюс перепосты, заявки в друзья. Для удаления груп пришлось ставить плагин для хрома.
20.07.15 16:12
0 0

Вот читаю каменты, и сомнения терзают: а вдруг это не люди, вдруг они сами написались? 😄
20.07.15 15:57
0 0

А у меня, тьфу-тьфу, никогда не взламывали. Может дело в привязке номера телефона? Еще есть подозрения, что привязка номера им очень-очень нужна, чтобы привязать номер и человека из Вконтакте. И для этого создается псевдо-незащищенность. Не удивлюсь, что спецслужбы стали вводить свои требования и им приходится в таком виде их реализовывать. Кто-то давно не заходил - морозят страницу как опасную, если не хочет привязывать номер, то она остается заблокированной или блокируется повторно через какое-то время. Сама идея вполне эффективная и всё для блага, они ж с беззаконием борются. Но рассчитано на идитов, остальные будут использовтаь фейковые аккаунты и обезличенные симки.
20.07.15 15:30
0 0

LP_Masta: А у меня, тьфу-тьфу, никогда не взламывали. Может дело в привязке номера телефона?

У меня телефон привязан ИЗНАЧАЛЬНО.
20.07.15 15:50
0 0

То ли в движке Вконтакта дыры, то ли кто-то из их сотрудников сливает базы с паролями. У множества знакомых (и у меня самого) страницы с очень устойчивыми паролями были взломаны.
20.07.15 14:46
0 0

Johnny2007: , то ли кто-то из их сотрудников сливает базы с паролями.

А где те сотрудники берут эти базы?
20.07.15 15:02
0 0

Я чувтвую, что это скрытое требование привязать мобильный номер в вконтактику. У меня «злоумышленники взламывали», на минуточку, 128-битные хэш-строки в пароле. Вконтактик настойчиво говорил, что пароль будут подбирать до тех пор, пока я не привяжу к странице мобильный телефон, а то он слишком прост для перебора. Пришлось привязывать. Как привязал — сразу и «взломщики» отстали и пароли стали «соответствовать требованиям сложности».

Как-то так...
20.07.15 14:45
0 0

Lopar: Вконтактик настойчиво говорил, что пароль будут подбирать до тех пор, пока я не привяжу к странице мобильный телефон

По-русски это называется - собирают Big Data с целью последующей монетизации. Так как собирают явно мошенническим способом, то и монетизировать будут не стесняясь в методах и мошенничая с данными членов этой соц. сеточки. А теперь вопрос к пользователям Вкнонтактика - зачем вы пользуетесь сетью, принадлежащей мошенникам? Тем более все серьезные люди пользуются ФБ.
20.07.15 15:45
0 0

Lopar:
Я чувтвую, что это скрытое требование привязать мобильный номер в вконтактику. ... Как привязал — сразу и «взломщики» отстали и пароли стали «соответствовать требованиям сложности».


Ух ты, как интересно. То-то я думаю, чего это меня ни на что левое никто не подписывает и вообще никаких проблем нет... А оно вон как, оказывается...

VK это просто песня, я там уже несколько лет назад, после схожей проблемы, удалил свою страницу. Теоретически ее еще можно в течении 7 месяцев - восстановить! А вот типа дальше - все железное удаление страницы. Так что за сообщениями от них на почту надо продолжать следить!

Буквально месяц назад, приходит сообщение от администрации VK, что от моей страницы там, отвязан мой сотовый номер и последние цифры они указывают правильно, ну и типа просьба удостоверить заново номер телефона.

Я отвечаю в support, мол каким образом кто-то может иметь доступ к моей удаленной и не восстановленной за первые 7 месяцев страницы? В ответ - тишина!

Так что Alex, возможно, Ваше участие в судьбе странички на VK, еще не закончилось! 😉
20.07.15 14:40
0 0

BlackKnight: Так что Alex, возможно, Ваше участие в судьбе странички на VK, еще не закончилось!

Понятно, спасибо.
20.07.15 14:42
0 0

Хотя, если в аккаунт сами ниоткуда не заходили долгое время, тогда вообще странно, как подобные вещи происходят.
20.07.15 14:40
0 0

Madnum :

Вот вот, у меня аккаунт уже лет 6 или больше и никогда никуда он сам не подписывался.
20.07.15 22:22
0 0

Хм.. интересно. К товарищам, которые пишут клиенты для вконтакта то и дело жалобы приходят - пользователи как то подписываются на левые группы. Пока самая более менее правдоподобная версия - вредоносное ПО на телефонах как то получает доступ к сессии пользователей.

Короче, Алекс, дело явно не в утёкшем пароле.


20.07.15 14:38
0 0

Madnum:
Хм.. интересно. У меня знакомый пишет клиент для вконтакта (не официальный). То и дело жалобы приходят - пользователи как то подписываются на левые группы. Пока самая более менее правдоподобная версия - вредоносное ПО на телефонах как то получает доступ к сессии пользователей.

Короче, Алекс, дело явно не в утёкшем пароле.




Дело в том, что я НИКОГДА не заходил во вконтактик через телефон-планшет.
20.07.15 14:42
0 0

Madnum: Хм.. интересно. У меня знакомый пишет клиент для вконтакта (не официальный). То и дело жалобы приходят - пользователи как то подписываются на левые группы. Пока самая более менее правдоподобная версия - вредоносное ПО на телефонах как то получает доступ к сессии пользователей.

Да - похожая мысль тоже возникла
20.07.15 14:44
0 0

У меня 1-2 дня назад было подобное, только я якобы писал спам на чьей-то стене. И тоже есть уверенность, что пароль не скомпрометирован. Похоже, у них дыра, позволяющая выполнять действия за тебя без входа в ВК. А удалять страничку не хочется, т.к. с некоторыми родственниками (дальними) другой связи не установлено.
20.07.15 14:19
0 0

О кстати - почти та же ерунда.

Внезапно обнаружил, что подписан на 3 группы какие-то, хотя никуда не подписывался. А вчера выдал, что мой пароль скомпрометирован и надо другой ввести.
20.07.15 14:17
0 0

 Ну, спасли они, скорее, не Вас, а тех, кому Вы гипотетически могли отправить спам
20.07.15 14:12
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 441
видео 3992
вино 359
еда 499
ЕС 60
игры 114
ИИ 29
кино 1580
попы 190
СМИ 2757
софт 930
США 131
шоу 6
Что ещё почитать