Pull to refresh

Comments 328

С переадресацией вообще можно много делов натворить, вплоть до получения доступа к онлайн-банкингу.
Кстати, это лишний раз доказывает о глупости привязки номера припейд к паспорту.
Характерно, что факт владения номером телефона (причем, замечу, именно номером мобильного телефона) стал уже не только для самого сотового оператора, но и для банка, для органов и суда, для сторонних коммерческих структур подтверждением личности и даже её дееспособности.
При этом смена симки уже становится не мерой против злоумышленников, а гарантированным гемороем, когда тебе нужно обойти миллион мест, где твой номер указан в профиле, и сменить этой номер на новый. Т.е. смена уже давно себе дороже, в то время как даже «угон» номера довольно прост.
Да что там, почти наверняка легко ищется салон связи, который по фото паспорта в телефоне выдаст дубликат симки (а старая в тот момент, конечно, умрет, что еще больше затруднит ее настоящему владельцу вопрос «отката» ситуации). С дубликатом симки можно посетить основные сервисы и сменить там номер телефона на другой. И это, замечу, без сговора с оператором сотового салона, а просто на втирании в доверие к нему и на фото паспорта (а уж «фото», зная реальные данные паспорта старого владельца, нарисовать не проблема).

У МегаФона в течении 1 суток после замены сим карты не работают СМС.

А еще смешнее тот факт, что оператор через некоторое время перевыпускает номер телефона, который когда-то принадлежал вам, и если вы забыли сменить привязку номера на каком-то из сервисов, может быть сюрприз. Недавно в новостях мелькал такой казус с телеграмом, когда человек купил симку, и получил доступ к чужому телеграму, ранее привязанному к этому номеру.
UFO just landed and posted this here
есть еще фишка с операторами сип телефонии. Они тоже любят подставлять подтвержденный с помощью смс номер в виде caller-id, да вот беда, симки у меня давно уже нет, а они все еще номер подставляют. Представляю какой был шок у нового владельца симки, когда к нему пришел звонок с его же собственного номера…
UFO just landed and posted this here
В случае использования TOTP не прокатит ведь?
многие сервисы настойчиво рекомендуют указать номер мобильного и используют его как метод восстановления если TOTP утерян

Прав. Можно через TOTP, а можно смской подтвердить, при том перевыпуск TOTP не требуется

От таких clickbait'ов у меня каждый раз глаз выпадает и катается по полу.
Заголовок гласит «взлом вк», в статье описывается компрометирование паспортных данных и интеграционное спагетти с их помощью.
Насчет паспортных данных — да есть 100500 компаний, которые имеют мои паспортные данные. И знают номер моего телефона. Начиная от всех работодателей и кончая всякими сервисными службами (операторы связи, провайдеры, чуть ли не ЖЭКи и пр.).
Кстати, как правило, человек паспортные данные и номер мобильного телефона не меняет на протяжении достаточно долгих периодов времени, ну, например, 5-10 лет.
Поэтому подставы можно ожидать и не только от сотрудников салонов мобильной связи.
UFO just landed and posted this here
Пруфов, разумеется, до сих пор нет? Всё так же основывается на скринах левых объявлений на непонятных форумах?
К сожалению, достаточно зайти в даркнет, где вам любезно предложат весь спектр услуг, от слития паспортных данных по номеру телефона до получения информации о всех ваших тратах по всем счетам в Российских банках. Могут даже бесплатно урезанное демо сделать. All inclusive. Проблема в том, что такие возможности очень широко афишируется, т.к. пошел какой-то хайп на даркнете и каких-то «посылках с даркнета». Мол как просто получить доступ к подобного рода информации.
В общем, можно ни в какой «даркнет» не ходить — недобросовестный сотрудник салона связи обнаруживается обходом ближайших салонов за несколько часов. Предварительная выборка потенциально готовых к подобному сотрудничеству делается просто по внешнему виду.
В салонах операторы (во всяком случае, мой) обязаны (технически) для выдачи данных ввести код из смс, которое присылается на номер, данные которого я запрашиваю. То-есть я говорю «дайте детализацию по +7991000####» — «ок, код из смс пожалуйста» — «Сообщите дилеру код для подтверждения операции: ######» — «ОК, печатаем». Если с СМС сложности, требуют паспорт и письменное заявление, «мы вам перезвоним».
UFO just landed and posted this here
UFO just landed and posted this here
в них отписался ряд очень забавных комментаторов с писаниной в стиле «какие ваши доказательства»
Привет, это я, твой забавный комментатор. Я по-прежнему считаю, что статьи о любых взломах на Хабре без proof-of-concept ничего не стоят, потому что их в принципе невозможно опровергнуть. Да, именно невозможность опровергнуть и скользкие формулировки отличают первый канал жёлтый журнальчик от того, чем раньше был Хабр.
Так что, делая обзор, будьте готовы к таким комментаторам.
Да, подготовьте несколько конспирологических комментариев с обязательным упоминанием Украины. Типа вашего. Такое на хабре очень любят (нет, мой дорогой читатель комментариев, это — не сарказм, уже лет 5 как нет).
В даркнет не надо, самые популярные площадки в «обычном» интернете.
С любителями требовать доказательств (да, слово «пруф», на самом деле, пишется именно так) есть всегда две типовые проблемы:
— совершенно непонятно, почему кто-то должен предоставлять доказательства именно им;
— также совершенно непонятно, какие доказательства вообще могут быть в случае, когда речь идет о том, что само по себе незаконно.
То есть, что это должно быть, объявление в газете «продам личные данные пользователей Билайн, обращаться в салон связи такой-то, спросить Васю»? Или инкриминирующий того, кто проверил такую возможность, скринкаст с реальными данными?
Выходит, стоит верить всему, что где-то написано?
Если мы завтра увидим статью про то, что человек якобы взломал сайт Пентагона и в качестве доказательства выложит скриншот с ssh клиента, где будет написано «Ubuntu Server 18.04 Pentagon Edition», мы должны будем поверить этому?

Что плохого в том, чтобы критически относиться к подаваемой информации? Мы ведь живём далеко не в мире розовых пони, где везде правда и только правда.
Вас никто не заставляет ни во что верить просто так, только потому, что это кто-то сказал. Но вот, например, мне (и множеству других людей) не нужно никаких «доказательств», потому что я уже (независимо от этой статьи) знаю, что получить паспортные данные — возможно. Так что для меня, и для множества других, это просто история о том, что и как просто можно сделать с данными, которые, как мы уже знаем, доступны. Соответственно, ваше заявление о бездоказательности — это проблема отсутствия у вас нужных знаний, а не проблема самой статьи. А также, это проблема с тем, что вы, вероятнее всего, воспринимаете любое заявление о взломе, как хвастовство автора. Что совершенно не обязательно так, потому что это может быть просто констатацией факта.

Поскольку вы любите аналогии (правда, приводите их неудачно), я тоже вам представлю аналогию. Например, я вам могу сейчас сказать, что радиус атома водорода — 53 пикометра. Вы тоже совершенно не обязаны мне верить, но и я не обязан вам представлять всю экспериментальную базу, чтобы доказать, что это так.
я уже (независимо от этой статьи) знаю, что получить паспортные данные — возможно.


Дальше что? Пару лет назад здесь была уже статья ровно такая же, с апокалиптическими криками о том, что нас всех взломают, ограбят и т.д. И что? Я взял свой паспорт, сделал с него ксерокопию (абсолютно легально, заметьте) и пошел тестировать. В спальнике типичного российского миллионника. Зашел в три салона сотовой связи купить карточку, ни в одном мне это не удалось. Зашел в ларьки «быстро деньги» и «деньги сразу» и, естественно, был послан далеко и надолго. Да мне даже в хостеле койку на ночь взять не удалось! Единственное, что я смог сделать — это купить в пятерочке бутылку пива.

Вы, конечно, скажете, что у меня лицо не такое, разговариваю я не так, МОЖНО было деньги предлагать и т.п. Я вам так скажу, имея много денег можно в космос полететь, или, следуя вашей логике, просто комплект документов заказать на вашем любимом «даркнете».
Миф: с помощью предмета, похожего на пластмассовый пистолет, грабят банки.
Что делает разоблачитель мифа: берет пластмассовый пистолет, пишет свою false story.
То, что у вас не получилось использовать ксерокопию своего же паспорта, никак не отменяет возможноть подобного действия.

Вы опровергли квантор всеобщности, это хорошо. То есть утверждение "каждый может с помощью ксерокопии паспорта увести чужой аккаунт" не верное.


А вот квантор существования таким образом не опровергается. Да, обычно его следует доказывать, а не опровергать, но тем не менее.

А вот квантор существования таким образом не опровергается. Да, обычно его следует доказывать, а не опровергать

А бремя доказательства на ком лежит не подскажете?

Ни на ком, конечно, не лежит. Хотите опровергнуть существование — пожалуйста. В определенных рамках и условиях это возможно. Считаете, что утверждение не значимо, пока существование не доказано — пожалуйста. Разумный подход. Если захотите сказать — "отсутствие доказано, пока не доказано существование" — это не совсем верно логически, но в быту используется.


Касательно темы — пока никто не показал существование. В смысле, возможность купить данные по номеру телефона на форуме в интернете. Много людей тут считают, что это возможно, но, если я верно понял, никто не пробовал. Утверждать на таких данных, возможно это или нет — не возьмусь.

UFO just landed and posted this here
Такие вещи невозможно доказать. Но, предупреждён — значит вооружён, не так ли?

Почему невозможно доказать, если Вам алгоритм предоставлен?

Всегда останутся неверующие, которые скажут, что это подстава, и данные заранее он себе свои выкачал, конвертнул формат. Даже если онлайн видео с перепиской записывать.

Идея доказательства не в том, что бы "не осталось неверующих", а что бы рассмотреть все значимые вероятности.


Например, до сих пор есть неверующие в то, что земля круглая. Но это не значит, что доказательство круглой земли не возможно. Оно возможно и оно есть.


Возможно, кому-то достаточно тех частей доказательства, что уже представлены (скриншоты форумов, например). Однако наличие неверующих — это не довод, что более серьезные доказательства "невозможны". Они, конечно, возможны.

что бы рассмотреть все значимые вероятности.

Что за бред. Доказательство не может быть вероятностным. "Уважаемый судья, скорее всего этот человек виновен, давайте его казним на электрическом стуле."
Доказательство должно быть железным, на уровне теоремы, как теорема Пифагора. Доказательство нельзя опровергнуть. Вероятности остаются вероятностями, но никак не доказательствам.

что бы рассмотреть все значимые вероятности.

Доказательство не может быть вероятностны

Цепочка ваших рассуждений мне не ясна. Суть вашего возражения — тем более. Много доказательств в суде, конечно, вероятностные (например, все показания свидетелей именно такие), но как это относится к делу?


Доказательство должно быть железным, на уровне теоремы, как теорема Пифагора.

Это возможно только в формальных науках. В естественных — это предмет дискуссии, в социальных — невозможно.


Давайте я сформулирую по-другому. Что бы рассмотреть все потенциальные возможности (по возможности опровергнув все, кроме одной). Возможно, так понятнее.

UFO just landed and posted this here
Потому что вы не сможете повторить этот алгоритм на суде. Тем более, он не общий.
Очевидно, что доказательство возможно, но категорически нежелательно, т.к незаконно. И оказаться в тюрьме ради чрезвычайно очевидного «пруфа» незнакомцу из интернета, один из самых глупых поступков, которые только можно совершить. Наиболее логичное решение, подобных вопрошающих «пруфы», записать в слаборазвитых и прекратить общение, т.к оно не эффективно и не способно привести к каким угодно положительным результатам. К сожалению, всё IT больше похоже на дуршлаг. Утечки данных теперь уже совершаются каждый день изо всех мест, которые только можно представить. И для тех, «кому нечего скрывать», просто напомню, что достаточно всего лишь информации, что Вас не будет дома 30 минут, чтобы уже нанести ущерб. И кража одно из самых безобидных, что может произойти. Мир не без плохих людей. И их много. Многие из них терпеть не могут других. У каждого человека найдутся хейтеры. И у Христа они были. Что уж говорить, про обычных, даже самых добрых и ангельских людей. Так что всё что о Вас известно. И всё что Вы скажете может и обязательно будет использовано против Вас. На этом моменте я просто пожелаю, чтобы _розовый_ мир, где угроз нет, в Вашей реальности действительно оказался таковым. Добрым и мягким. Не всё в этом мире необходимо доказывать, показывать и проверять. Со многим в этой жизни лучше никогда не соприкасаться. За сим желаю здоровья, и чтобы все беды обошли Вас и всё сообщество стороной.
Ну и вы на мои (в общем, совершенно не риторические, а вполне реальные) вопросы так и не ответили, естественно.
— Почему кто-то должен предоставлять доказательства именно вам?
— Какие доказательства вообще могут быть в случае, когда речь идет о том, что само по себе незаконно?
Почему кто-то должен предоставлять доказательства именно вам?

Мне никто ничего не должен, это понятно. Но я проясню свою позицию. Я далёк от ИБ. Но мне стало интересно (после недавних публикаций) — действительно ли так просто получить персональную информацию обо мне, которую я оставил, находясь в РФ? Я изучал этот вопрос на хабре, но кроме скриншотов левых сайтов с объявлениями я так ничего и не увидел.
Ок. Не хотите — не предоставляйте доказательства. Ваше право.

Какие доказательства вообще могут быть в случае, когда речь идет о том, что само по себе незаконно?

Полагаю, что сценарий, когда человек выкупает информацию о себе, а потом сообщает об этом в соответствующие службы оператора. С официальным ответом этого оператора.
Как я вам уже написал выше, совершенно очевидно, что продажа личных данных — это не официальная услуга салонов связи или самого оператора, потому, естественно, это всегда будут скриншоты «левых сайтов», просто потому, что именно на «левых сайтах» это и продается.
Что до «выкупа информации о себе» — вы хотите, чтобы ради того, чтобы вы в чем-то удостоверились, автор опубликовал свои данные для всего мира? Серьёзно?
И что к этому всему добавит «официальный ответ оператора»?
автор опубликовал свои данные для всего мира

А их не нужно публиковать. Например, сам факт того, что человек попробовал это сделать и у него получилось — очень сильно поднимает вероятность того, что это так. Конечно, он может соврать, поэтому это не будет считаться строгим доказательством, но это действительно поднимает вероятность.


Если так сделали два-три достаточно независимых человека с большой историей на хабре — будете ли вы считать, что это то же самое по надёжности, что и скриншот с форума с обещанием (!) предоставить данные?


Лично я буду считать заявление об успешной попытке получить данные от нескольких человек намного более серьезным заявлением, чем утверждение, что это возможно, но никто не пробовал. А вы?


Я не настаиваю, что это нужно делать. Может и не нужно. Но разница в силе доказательства огромная, как считаете?

Надо понимать что это несколько противозаконно, даже в случае инфы о себе, и может привести, при плохом исходе, к довольно серьезным проблемам. Преступникам это не так важно, они и так собираются мошенничать, а вот законопослушному гражданину нарушать закон ради такой мелочи несколько странно. Я бы вот не решился.

Тезис звучит как "это делать рискованно, поэтому никто не будет, и так понятно, что сработает".


Но считать, что это сработает только потому, что проверять рискованно — то же, что считать "бозон Хиггса существует, проверять не будем, дорого". Нельзя так. Можно либо проверить, либо считать гипотезой, а не фактом.


Я вот тоже проверять не буду. Но считать на этом основании, что на скриншотах не обман было бы не разумно.

Да нет, просто риск, трудозатраты, стоимость и потенциальная опасность неиллюзорной тюрьмы, не стоит бенефитов — попытаться что-то доказать анонимному пользователю хабры. Ну вот то есть совсем не стоит.

Доказать что? Что сам не проверял? В этом ключевая проблема — разговор идёт вокруг "можно и нужно ли доказать анонимному пользователю хабра то, что никто не проверял".


Это глупо само по себе, думать, стоит ли доказывать другому то, истинность чего сам не знаешь.


Более разумный подход — это подумать, нужно ли проверять. Если не нужно — тогда явление останется в категории гипотез и рассуждение "не буду ничего доказывать другим" даже не возникнет.

Вы сильно лукавите. Вам показали не скриншоты левых сайтов, а практически подробную инструкцию в скриншотах, как выполнить это действие.
То есть вы можете самостоятельно провести эксперимент, возможно потратив некоторую сумму (например купив лишнюю сим-карту, с которой вы будете взламывать свой же аккаунт). И убедиться, что инструкция рабочая.
Либо вы даже можете сами заплатить в даркнете за услугу взлома самого себя и получить о себе данные.
В данном контексте меня интересовал не конкретно «взлом» аккаунта вк, а гипотетическая возможность получить паспортные данные (пользоваться не собираюсь, но меня беспокоит сохранность моих данных). И, хоть убейте, я не вижу подробных инструкций по этому делу. Каких либо примеров, чтобы эти данные получали — тоже. Всё что есть — это скриншоты с объявлениями.

В связи с этим я и задал вопрос, который меня мучает уже некоторое время. И, судя по минусам в моих комментариях, он сильно не понравился местной аудитории (полагаю, тут надо было поверить на слово и заткнуться).
Инструкция предельно тупа:
— берете тысячную купюру и номер телефона на бумажке
— идете в ближайший салон связи, когда там поменьше клиентов
— находите сотрудника, который больше остальных похож на гопника
— убеждаетесь, что вас никто не слышит и просите его «пробить номерок»
— если не получилось, идете в соседний салон связи.
Каких либо примеров, чтобы эти данные получали — тоже. Всё что есть — это скриншоты с объявлениями.

Допустим, автор сказал, что воспользовался услугой и купил данные. Как ему потом доказать, что это действительно так?

Есть определенная вероятность, что он соврет, да. Но она не 100%. Если таких людей несколько, с историей на Хабре, это в разы более сильное заявление, чем скриншот с обещанием. Потому что в случае скриншота нужно верить человека, который преступник, неизвестен и материально заинтересован. Шансы что он соврет — заметно выше.


А вот если это сделаю я или вы, пусть даже без особой репутации на хабре, то можно учесть отсутствие материальной заинтересованности и априорную вероятность, что не преступник.


То есть это не строгое доказательство, но намного более сильное свидетельство, чем скриншот.

Не тратьте на него времени — с весьма большой вероятностью это тролль. Акк зарегистрирован в ноябре 2018, как и большинство троллей здесь, карма в минусе, никаких постов, хабов, ничего нет, кроме комментов, половина в глубоком минусе. Данный тролль весьма успешен, есть плюсовые комментарии.
Вы верно описали ситуацию, но делаете неверный вывод.
Это «классических» троллей не стоит «кормить», потому что все, что они хотят (в результате своих дефективных социальных навыков) — это вызвать эмоциональную реакцию окружающих.
А «новых» троллей, которые занимаются, вольно или невольно, пропагандой или спорами ради споров, нужно воспринимать вполне серьезно, потому что большинство читающих это — не в состоянии «расшифровать» их ложь, лукавство, заблуждения. Так что отвечать на то, что они пишут — стоит, но не для них, а для тех, кто это читает.
Ну, кстати, соглашусь с вами.
UFO just landed and posted this here

Хабр — наверное последнее место в ру.интернете, где большинство голосующих имеют четкую логическое мышление. Если вы отстаивание свое мнение, и даёте аргументы, то с вами соглашаются и плюсуют. Если ваши аргументы неубедительны, то вас минусуют.
Несоответствие механики работы кармы и правил сайта — это вам нужно писать в администрацию. Коротко, ответ такой: карма позволяет обществу саморегулироваться, держать меньше модераторов, которые бы это делали вместо пользователей, а значит и не пускать зловещую рекламу на сайте.

Не обязательно. У меня есть хороший знакомый, который постоянно ловит по паре минусов в месяц, за отстаивание аргументированного, но непопулярного мнения. ИСЧХ, посты-то при этом плюсуются. А карма куда-то девается.
UFO just landed and posted this here
UFO just landed and posted this here
Неужели никто не кинет в товарища ссылкой. Если уж такой интерес, то почему бы не поискать в интернете какой-нибудь форум (на первой же странице) с продавцами подобных услуг, и потратив немного денег на собственном опыте проверить возможно ли купить подобные данные
Да, и «критическое отношение к информации» или «скептическое мышление» — это не попугайское требование доказательств от других, это способность самому анализировать правдоподобность тех или иных утверждений.
Вот именно. И самостоятельно проанализировав эти утверждения на основе имеющихся у меня данных, я пришёл к выводу, что утверждения весьма сомнительны. Поэтому запрашиваю доказательства (и получаю в ответ, что — «ты не в теме, значит сам дурак»).
За сим откланиваюсь. Хорошего вечера.
Вы анализируете утверждение на основе отсутствующих у вас данных, а не имеющихся.
UFO just landed and posted this here
Не живите в мире пони, идите работать к бизьнесьменам — много чего инетерсного и нового узнаете (про то, например, что слово «биллинг» на их жаргоне — это получение информации о жертве из салона сотовой, например, по местоположению (по вышкам)). Причём «бизьнесьмены» могут быть в совсем отвлечённых от IT областях, они просто привыкли всех «пробивать», следить за женой и чёрт ещё знает что делать. Свой мирок, где не хочется оставаться, но тогда ваши пони в ужасе разбегутся.
Я всерьез задумываюсь о проведении такого эксперимента со своими данными (а именно — купить лично мои данные в даркнете). Почему вы считаете, что данные действия могут быть незаконными?

А закону не пофиг, чьи данные? Продавец получил прибыль от незаконных действий, Вы — покупатель, осознающий незаконность действий продавца. И то, и другое от конкретного содержания данных не зависит (только от факта, что это ПД), и, по идее, этого достаточно. Другой вопрос — как этим воспользуются: могут замять дело для покупателя и закрыть продавца, а могут и наоборот — сцапать покупателя, бодро отчитаться о "профилактике преступлений", а продавцу только пожелать удачи и напомнить, чтобы не забывал делиться прибылью.

Нет, закону как раз не пофигу. В отличии от чужих ПД, в отношении своих я имею право решить, кому я разрешаю или не разрешаю их обрабатывать. Отсюда и вопрос.
Гипотетически: вы, путем подкупа или обмана, склоняете сотрудника организации к нарушению его служебных инструкций и уголовного кодекса. Он совершает преступление. А вы не просто соучастник, а организатор преступления, совершенного в группе, по предварительному умыслу.

Не посадят, конечно, но условно дадут запросто. Обоим.
Нет, не так. Я нашел в сети объявление и обратился по нему. Если я приду с таким предложением в салон — это гарантированно будет незаконно.
Вообще-то, это юрисдикция УК, и при возбуждении дела учитывается и умысел (мотив). Так что, если совершаешь подобные деяния с умыслом «проверить», и в отношении только своих ПДн, то к Вам норма права УК РФ не применима, так как нет состава преступления, по причине, озвученной yetanotherman.
А склонение другого человека (невинной овечки, но слабохарактерной) к таковому деянию?
Какое склонение? К чему? Я имею право просить кого угодно и о чем угодно. Повторюсь, автор не совершил ни одного преступления.
А вот действия должностных лиц — вызывают вопросы.
Когда вы платите в салоне сотруднику, за пробив ВАШИХ данных, он нарушает закон, потому что не имеет права это делать — это не его трудовая обязанность, это ее нарушение.

Во-вторых вы платите человеку за то, что он нарушает закон — а значит у вас сговор.

В-третьих, вы с ним договор об этой услуге не подписываете, налоги с этой сделки никто не платит, уже этого достаточно чтобы вы не имели право решать.
Вариант с салоном заведомо провальный — я даю взятку и провацирую сотрудника салона на преступление, несложно представить возможные последствия. Я рассматриваю исключительно случай с запросом в интернете.
случай с запросом в интернете отличается только тем, что вы и сотрудник в салоне общаетесь не лично, а через интернет.
Это интересный момент. Отличий всё-таки побольше будет, вопрос в их юридической значимости.

Кстати, относительно салона всё тоже не однозначно. Мне сдается, что правильно спланированный диалог и знание своих прав сделает виноватым всех, кроме тебя самого. В теории. Конкретно это утверждение на практике я проверить не возьмусь в нашей действительности, по крайней мере, без очень хорошего юриста. Точнее, без очень хорошего юриста и связей.
Если есть связи, вы можете сами быть этим сотрудником. Или тем, кто вообще может нарушить любой закон и остаться безнаказанным.
О чем вообще спор?

Пробив личной информации в РФ слишком доступен, мало наказуем, руководство страны слишком далеко от понимания технической реализации цифровой безопасности, чтобы вводить вменяемые законы, да и вообще им не до этого.

А вы меня не поняли. Спора-то нет. Я действительно рассматриваю варианты, как в рамках закона проверить доступность моих ПД и, в случае положительного результата, что я могу сделать. И в общем-то всем, кто накидал варианты — я благодарен, независимо от того, считаю ли я эти варианты валидными или нет.

А властям и будет пофигу, пока таких любопытных как я — единицы. Если всем пофиг на их ПД — с чего бы власти начали чесаться?
В рамках закона, ПД не должны быть доступны посторонним.

Поэтому проверять в рамказ закона незаконные действия — рядовому гражданину запрещено законом. Для этого вы должны быть сотрудником госорганов, вдобавок действововать по конкретному приказу согласно которому вы выполняете расследование.

В лучшем случае, можете попробовать действовать в рамках журналистского расследования, но действия должны быть в рамках закона.
В рамках закона о ПД мои действия полностью законны (см. статья 1 п2 152-ФЗ в последней редакции).
UFO just landed and posted this here
А еще закон рассматривает метод. Если для того, чтобы положить себе денег на телефон, вы сломаете биллинговую систему оператора, а затем честно переведёте себе со своего банковского счета некую сумму, а не просто «нарисуете» ее на своем телефонном счёте, вы всё равно сядете за взлом.
Предложение взятки за злоупотребление служебным положением с целью получения доступа к личным данным — это три преступления в одном.

И если это ваши личные данные (про которые я ничего не говорил, потому что речь шла о получении доступа к чужим данным, а не к своим), из суммы пропадает только одно слагаемое.
Злоупотребляю служебным положением тоже не я, остается только взятка. Боюсь, тут тоже может быть сложно натянуть, особенно, если я данные по факту получил, они мои и я задокументировал весь процесс.
А это вы будете объяснять в суде, потенциально. Учитывая, как суды любят помогать полиции с улучшением статистики, ваши шансы не особо хороши.
Я думаю для начала что шанс, что кто-то из этих продавцов или покупателей окажется в суде — ничтожно мал. По причинам похожим на озвученные вами. Но за вариант про взятку — спасибо, на всякий случай учту.
Давайте не будем смешивать «шанс попасться мал» и законность подобной затеи, это очевидным образом глупо.
Тогда давайте не будем теоретизировать. Я хочу например «получить детализацию за деньги». Пока эта детализация моя — не вижу в этой затее ничего незаконного независимо от того, в каком странном месте я её запросил (например, описанный в статье чатик — похоже то ещё странное место). Если вы можете рассказать как с юридической точки зрения мне можно вменять дачу взятки должностному лицу за это действие — буду вам благодарен.
«Не теоретизировать» — это если вы действительно это сделаете, а потом будете действительно отстаивать свою невиновность в суде. А все разговоры здесь — это теоретизирование по определению, потому что есть закон, а есть правоприменение, о котором можно судить только по тому, как себя поведет реальный суд.

Например, суду может быть совершенно наплевать на обстоятельства, когда гражданин дает деньги должностному лицу за то, чтобы это лицо сделало то, что оно обязано сделать (но по какой-то причине — не хочет), а не то, чего делать нельзя. Это всё равно может быть квалифицировано, как взятка, и так бывает. Гражданин в этой ситуации не виноват, только если чиновник у него явно эти деньги вымогал, а гражданин обратился в полицию.

Неправомерный доступ к данным — это деяние, которое квалифицируется по методу, а не по тому, к каким данным получают доступ. Потому весьма возможная с вашей стороны аналогия про то, что вещь нельзя украсть у самого себя будет неуместной, потому что дело не только в том, что вы получили, но и как. И это даже без допущений, что вам могут пришить, что это вы ради теста самого себя «пробивали», чтобы убедиться, а потом на ком-то еще это использовать.
Для дачи взятки должностному лицу — нужно должностное лицо для начала. Неправомерный доступ к данным тут вообще неприменим. Поэтому, пока не вижу причины считать такой эксперимент незаконным.

Что же касается «а вдруг меня за это арестуют и будут судить, а там суд мне может нарисовать что-нибудь страшное» — так мне могут наркотики еще например подкинуть или кирпич на голову упасть — что теперь, на улицу не ходить?
Если вы пойдете в салон связи, чтобы «коррумпировать» тамошнего клерка (так делают те, кто ни к какому «даркнету» не имеет отношения), ваша взятка пойдет на нарушение им должностных обязанностей.
Если вы пойдете в «чатик», то это не взятка, а плата за доступ к информации, который неправомерен (потому что тот, кто где-то украл или купил базу, сделал это незаконно). Я не знаю, что вы выкручиваетесь. Если всё так радужно и безопасно — пойдите и проведите эксперимент, включающий в себя обращение в полицию с заявлением, что вам удалось ради эксперимента это провернуть, а потом, если сможете, с нами поделитесь.
Про салон связи я с вами согласен.
Про чатик — боюсь это так не работает.
Под признаки ст. 175 УК РФ «Приобретение или сбыт имущества, заведомо добытого преступным путем» не подпадают приобретение и сбыт заведомо добытой преступным путем цифровой информации.
При чем тут имущество, о чем вы вообще?
УК РФ, ст. 272 п.1 (по признаку «копирование») или п.3 (если оплату услуг «барыги» квалифицируют, как сговор). Эта статья — универсальная, она не только про «сидюк скопировать» или кино через оператора проектора в кинотеатре на торренты слить.
Про имущество я в контексте добросовестного приобретателя. В рамках нашего законодательства совершенно не важно, как добыли информацию, которую я приобрел. Что касается УК РФ, ст. 272 п.1 — закон не охраняет мои ПД от меня, по этой же причине п.3 неприменим.
В рамках нашего законодательства совершенно не важно, как добыли информацию, которую я приобрел.

Это утверждение не соответствует действительности.
Вы с авторским правом не путаете? Если нет — почему вы так считаете?
Нет, не путаю, потому что статья говорит не о «воровстве» информации, а о противоправном доступе к ней. Потерпевшим в данной ситуации является сотовый оператор, а не вы. Я уже выше объяснял про то, что аналогия с воровством у себя — неверна. А то вы так договоритесь до того, что прийти в банк, отобрать у кассира тысячу рублей, а взамен оставить ему записку «это я ради эксперимента, снимите эту тысячу с моего счета такого-то в этом банке» — тоже не преступление.
Ну зачем вы передергиваете?

Вы говорите, что мое утверждение о том, что нашему законодательству не важно, как была добыта информация, которую я купил — не соответствует действительности. Можно пояснить, почему вы так считаете? Я допускаю, что я могу ошибаться, но я не нашел такой статьи. (Авторское право в расчёт не берем — не тот случай)

Что же касается неправомерного доступа к информации — я его не совершал и уже написал об этом выше. Это не я привел аналогию, это прописанная в законе норма — иначе, следуя вашей логике, мое обращение в службу поддержки будет квалифицироваться так же. Информацию скопировал? Да. ПД охраняются законом? Да. Разница только в том, что я мог знать, что продавец получил эти данные незаконным путем. Но ответственность за это будет только в случае приобретения имущества, кроме того, процесс доказательства моей вины, боюсь, будет нетривиален
Вещь можно украсть у самого себя. Нельзя подать заявление на самого себя. Но вариант когда вы принесли телефон, скажем, домой и положили на видное место, через время забрали, а ваша жена обратилась в полицию. И, допустим, стремительно завели уголовное дело. Всё, привет, Вы вор, и суд это подтвердит. Есть куча теоретических возражений, типа частного обвинения, примирения сторон и тд, но они все теоретические, и в практике часто обходятся. Пример предельно утрирован, но отдельные части этого примера встречаются часто.
Я уже объяснил, что закон не охраняет мои ПД от меня в данном случае, поэтому, статья о неправомерном доступе к информации тут неприменима.
Позволю себе не согласиться с вышесказанным, в виду того, что кража — это тайное хищение чужого имущества, а свое имущество по определению не может быть чужим.
А вот тут очень интересная ситуация рисуется — как написано в преамбуле любого кодекса — необходим субьект правонарушения. Потерпевший. И вот тут то и начинаются юридические метаморфозы.
Если я совершаю противоправные действия в отношении себя, то данные деяния не являются составом преступления, иначе это будет нарушать мои конституционные свободы По этой причине, следователь, при допросе, обязательно будет задавать разные вопросы, которые нацелены на выяснение обстоятельств, при которых было совершено то или иное деяние. Это ляжет в мотивировочную часть
Вдруг потерпевший — сотовый оператор. Вы, в составе преступной группы, дали денежки сотруднику оператора, он «взломал» систему и нанёс урон репутации/что-нибудь ещё.
Мой вопрос был исключительно про случай, что я откликнулся на объявление вида, например «предоставим детализацию по номеру телефона». Кому и зачем я дал денежку я предварительно и в процессе задокументировал, как и результат данной операции.
То есть ещё и собрали все доказательства для тов. майора?
Именно так. Например, доказательства представляют собой неразрывный видеофайл. Начинаются с текста «Меня зовут так-то так-то, я хочу проверить, какими способами я могу узнать детализацию по своему номеру телефона такому-то».

Я не питаю иллюзий на тему нашей правовой системы, но и в страшные ужастики тоже не верю.
Пожалуйста, покажите, в каких случаях закон запрещает мне получить доступ к моим ПД. Без этого нельзя квалифицировать мои действия как неправомерный доступ к информации.
С юридической точки зрения, реализуя данный конкретный кейс, автор не совершил ни одного преступления. Он ни кому не платил денег за предоставление конфиденциальной информации, не вводил никого в заблуждение, с целью незаконного обогащения или или извлечения иной выгоды, не сообщал заведомо ложных данных и не получал несанкционированный доступ к каким либо информационным системам.
Он реализовал кейс, который, гипотетически, может реализовать кто угодно, и очевидно, что злоумышленнику будет начхать на то, к чему вы апеллируете, так как он осознанно идет на совершение преступления. Вопрос лишь в том, какие потенциальные риски несут абоненты и пользователи. Но как известно, спасение утопающих — дело рук самих утопающих. И расследованием подобных дел ни кто всерьез заниматься не будет. Максимум — заведут дело, отправят запросы операторам, о предоставлении информации. Получат портянку с ответом. повызывают Вас, для приличия, а потом составят достаточно неприятный и нудный разговор о том, что злоумышленника не найти, и порекомендуют отозвать заявление.

А вот зона ответсвенности оператора четко прописана в законе. И сам факт получения данной информации в обход утвержденной процедуры, или согласно ВНД, который позволяет получить конфиденциальную информацию третим лицам — это залет. Но Вы будете судиться с оператором и «доводить дело до конца» (2-3 года судов и сотни тысяч рублей)?
Кажется более правильным, после выяснения того, что подобный кейс возможен — расторгнуть все официальные отношения с таким оператором и отозвать разрешение на обработку своих ПДн.

Так что я совершенно не понимаю, к чему все эти рассуждения.
Спасибо, достаточно подробно. Ну не обязательно же идти в полицию с этим и в суд. Есть же ещё РКН и прокуратура. Не знаю, на сколько на практике им будет интересно доводить такое дело до конца, но и деваться им особо вроде некуда. Может я наивен, но слышал, их подобные обращения только радуют.

Расторгнуть договор — хороший вариант, но, если верить страшилкам про ПД, это совершенно не поможет. Вот для начала и хочется узнать, на сколько всё плохо, так сказать, из первоисточника.

UPD: И кстати, возможен ведь ещё и позитивный исход, например, моих данных не оказывается в открытом доступе или служба безопасности оператора находит запрос в биллинг по времени и номеру и наказывает сотрудника, который его выполнил. Пока что у меня позитивный опыт взаимодействия с оператором и, признаться честно, не вижу причины по которой они могут спустить такой запрос на тормозах.
UFO just landed and posted this here
почему кто-то должен предоставлять доказательства именно им

Именно им — не надо. Просто факт можно считать доказанным, когда он доказан (извините за тавтологию). А пока он не доказан, его можно считать гипотезой, верной с какой-то вероятностью.


На мой взгляд странные две вещи.


  1. Просьба подтвердить слова минусуется (способ подтверждения может выбрать тот, кто утверждает)
  2. Заявление считается верным не после проведенных экспериментов (например), а после тщательно построенных рассуждений против тех, кто просил подтверждений. Блин, да даже если они все на зарплате в ФСБ, каким образом это делает гипотезу верной? Пробовали бы в физике так доказывать.

P.S. доказательств не прошу.

Впрочем, если обдумать, то второй пункт совершенно не странный. Это каскад доступной информации. Абсолютно естественно, что люди ему подтвержены, но лучше б они этого искажения избегали.


P.S. подверженность искажению не опровергает гипотезу. Просто надо учитывать, что без доказательств это именно гипотеза, а не факт. Степень её вероятности или качество доказательств каждый может оценить сам. Я не в коей мере не утверждаю, что она не верна.

Просто надо учитывать, что без доказательств это именно гипотеза, а не факт.

Кажется, вы путаете понятия "факт" и "гипотеза".


Факт: "я купил собственные персональные данные в даркнете".
Гипотеза: "в даркнете можно пробить данные любого человека".


Этих фактов на Хабре — несколько штук, плюс куча постов об угоне симок. Как следствие из этих фактов, вытекает гипотеза, которую есть все основания считать верной.

В том-то и дело, что не путаю.


Факт: "я купил собственные персональные данные в даркнете".

Если это на самом деле факт, можете сказать ник человека, который это утверждал?


из этих фактов, вытекает гипотеза, которую есть все основания считать верной.

Разумеется. Если вы видели этим факты, то вопросов нет. С моей стороны никакого троллинга, я просто не видел комментариев "я купил собственные персональные данные в даркнете". Вы видели? Поделитесь ссылками или никами, пожалуйста.

Поделитесь ссылками или никами, пожалуйста.
Хорошая попытка, товарищ майор, но нет.

Хороший троллинг (на самом деле нет). Если комментарий публичный, в чем сложность дать ссылку на такой комментарий? Да даже хотя бы сказать "я видел такой комментарий тут на хабре" (если вы на самом деле его видели)? То есть вопрос простой. Вы сами подтверждения видели?


В ответ все минусуют. Почему? Из-за эмоций. Тезис считается доказанным потому, что очень часто повторялся. А на вопрос — "вы сами-то подтверждения видели" — минус. Потому что не видели. С одной стороны это естественно, с другой, если хотя бы один из прочитавших комментарий обдумает это — будет круто.


Хочу, что бы как можно меньше людей были подвержены такому когнитивному искажению — считать доказанным то, что "очевидно", а очевидным — то, что часто повторялось большим количеством людей.

Просто факт можно считать доказанным, когда он доказан (извините за тавтологию).

А что такое "доказательство"?


Блин, да даже если они все на зарплате в ФСБ, каким образом это делает гипотезу верной?

Человеку предоставляется несколько подтверждений. Если человек им не верит — это его проблемы. С тем же успехом можно с пеной у рта требовать доказательств, что Земля не плоская.


Пробовали бы в физике так доказывать.

Вообще-то, в физике абсолютно доказанных фактов нет. Есть только гипотезы, для которых не удаётся найти опровержений, и потому они считаются верными (но в будущем это может поменяться).

А что такое "доказательство"?

Подобный вопрос не является ключевым для диалога. Я уверен, что мы "доказательство" понимаем примерно одинаково.


Человеку предоставляется несколько подтверждений

Если было представлено, тогда все нормально. Если не сложно — можете дать ссылку на комментарий, где они были представлены? Я, видимо, пропустил.


Вообще-то, в физике абсолютно доказанных фактов нет.

И несмотря на это никто там не примет доказательства в стиле "в физике нет абсолютно доказанного, а провести предложенный вами эксперимент крайне тяжело, сами его проводите. А мы пока будем считать утверждение верным".


Я вижу десятки комментариев в стиле "да всё доказано уже", "другие писали, что сработало" и ни одного "я купил, сработало" или "такой-то написал, что купил и у него сработало". Допускаю, что пропустил. Статью, которую имеет ввиду RussDragon найти не удалось.


Возможно ли, что я заблуждаюсь а сама гипотеза верна? Возможно, конечно. Но я не про гипотезу, а про стиль доказательства. Это явный каскад доступной информации — большой поток сообщений, что доказательства есть, а несогласные их просто игнорируют без предоставления самих доказательств.


Это не пика в вашу сторону, это просто интересное наблюдение для тех, кому интересна тема искажений и кто прочитает комментарий.

Вопрос о достаточности доказательства, на самом деле, ключевой, потому что люди с разной мотивацией требуют, на самом деле, разного. Одни требуют заведомо невозможного (намеренно, и знают это), другие — тоже, но не осознают этого (они просто глупы), третьим же доказательства уже не нужны, потому что они уже знают, что купить данные — возможно. В этом, по сути, нет ничего нового и интересного, просто люди исходят из разных мотивов и разного существующего у них уровня знаний.
доказательства уже не нужны, потому что они уже знают

Я немного не понял, они "знают" без доказательств или у них доказательства (какого-то уровня) есть, просто они не рассказывают? Вот это ключевое.


А тезис не про возможность купить данные. Я уверен, что по знакомству и за дорого это будет возможно. Не "знаю", т.к. доказательств не видел, но уверен с очень высокой степенью вероятности.


Тезис в другом. Объявление на форуме, где "продают" данные — сработает? Вот по этой условной цене в 20 баксов?


Вот вы "уже знаете", что да, если я верно вас понял. Что можно по объявлению на форуме эти данные купить. Вопрос, на чем основано ваше знание? Вот он ключевой.


Я не пытаюсь вас подловить. Мне даже не очень интересно, продаются ли там данные. Мне интересно именно основа вашего знания. Если вы рассмотрите вопрос "что я знаю и почему я считаю, что знаю это" — какой будет ответ?


Вот лично я знаю 2 вещи. Есть форумы для кидка лохов. И есть скриншот с форума. Такого ли это рода форум или нет — я не знаю.

Когда я пишу «знают», я имею в виду, что это — факт. То есть то, что реально происходило и сведения об этом бесспорны. Никакого другого значения у слова «знать» — нет, все другие значения должны определяться другими словами — «верить», «предполагать», и так далее. Знание о факте (и, соответственно, незнание) не делают кого-то лучше или хуже, просто вот так получилось. Лично мое знание основано на опыте, прямом или косвенном. Про других присутствующих сказать не могу — я не телепат, естественно. И сейчас вопрос не о том, есть ли мошенники, которые берут деньги за подобную информацию и ничего никому не дают — конечно, есть. Вопрос в том, все ли из тех, кто предлагает такую информацию — мошенники. Нет, не все. Может ли «случайный» человек самостоятельно с первого раза верно оценить ситуацию и не попасть на мошенников? Не факт. Поспрашивав знакомых, людей, которым он доверяет — может быть, даже очень. Это простая ситуация черного рынка: есть некий ресурс (данные или доступ к ним), есть люди, которые хотят превратить его в деньги, есть люди, которым этот ресурс нужен. Чтобы спрос встретился с предложением, предложение должно быть доступно. Если сделать его стоящим запредельно — кто это купит? Порассуждайте логически, и ситуация не будет вам казаться такой уж невероятной.

Когда вы говорите "они знают" — кого вы имеете ввиду? Ваша попытка рассуждать "логически" вокруг да около, не конкретная, скажите точно. Кто те самые "третьи" из вашего прошлого комментария, они существуют?


Про других присутствующих сказать не могу

Комментарием выше — могли. Сказали, что есть те, кто знают. Да ещё и так подробно описали, что знание — это именно бесспорный факт.


Лично мое знание основано на опыте,

В прошлых темах были скриншоты форумов, где, якобы можно купить данные. Собственно, о них речь. На том форуме действительно можно купить данные за указанную сумму? У вас есть такое знание или у вас его нет? Только честно.


Если у вас есть только знание, что данные в принципе можно купить, то разговор ни о чем. Конечно можно. Любые. Речь о цене и продадут ли человеку с улицы.


не будет вам казаться такой уж невероятной

Хорошо, что вы сами говорите про невероятности/вероятности. Сразу ясно, что речь не о факте, а о предположениях. (Это нормально, просто нужно учитывать).

Но ведь не так давно была статья, где человек с пруфами показывал, как покупает свои же данные в даркнете. Найдете сами.
Как пишут, в Канаде одному удалось сменить оператора без предъявления паспорта (хотя там потребовался пароль от голосовой почты и кое-что о себе), с мгновенной активацией новой симки. Нужны ли в таких условиях левые сайты?
Спасибо, я читал про это.
Но Вы, боюсь, мой комментарий не поняли. Есть 100500 компаний, которые могут не прибегая к помощи опсосов за 7-15 евро, сопоставить мои паспортные данные и мобильный телефон.

И ещё — предложите как с этим бороться. Есть идея пользоваться телефоном, зарегистрированным на жену или другого родственника. Тогда сервисные службы не смогу сматчить номер телефона и паспортные данные. Но против перебора такая схема не устоит.
UFO just landed and posted this here
Накладно (доп. расходы и просто надо думать про это). Но это действительно плата за безопасность.
UFO just landed and posted this here
UFO just landed and posted this here
Смс-ка была. Что вам-де нужно посетить офис оператора и засветиться там. Разумеется, никуда не ходил, но стал предупрежден, что можно ожидать чего угодно. Дальше посмотрим.
UFO just landed and posted this here
Это да. Но до тех пор, пока их контролёры не начнут ловить на живца. Т.е., кстати говоря, делать то, что тут на хабре именуется как раздобыть «ваши доказательства». Полагаю, для них это незаконным являться не будет.
Тогда уже выборкой по мертвым душам не обойтись.
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Так так и делаем. Одна идентифицированная не светимая нигде, и…
UFO just landed and posted this here
Я не так выразился, пардон. Это симка для мамы/папы/жены/ребенка, т.е. активно юзается. Плюс там пакетный тариф с ежемесячой платой, в т.ч. за домашний инет. Т.е. не сдохнет она. Но прежде, чем дать этот номер другу — думаю долго, так как для них есть своя. А не светимая — это значит её нет ни в одном инет-магазине, банке, инет-аккаунте. Т.е. всем тем, кому нет доверия по сливу никакого.
UFO just landed and posted this here
Так-то я согласен, но и не ставил цели отвязаться от графа. А только лишь от спама и, по максимуму, от присутствия во всех базах, которые не силовиков. Под «обычным юзеркейсом» же понимаю оставление номера везде, где требуется, в т.ч. с риском спама.
UFO just landed and posted this here
Это ещё надо найти такую жену, чтобы у неё бабушка знала слово «роутер»…
UFO just landed and posted this here
Чтоб не выкинула случайно бесовскую коробочку с лампочками, очевидно же :)
UFO just landed and posted this here
Все время, которое я владею паспортом, я не понимаю одной вещи.
Почему сочетания 10 цифр и нескольких слов достаточно для проведения уймы действий, при этом физическое присутствие настоящего владельца этих данных вовсе необязательно.

По-моему, налицо системная проблема в принятии этих данных как согласия их владельца на что угодно.
UFO just landed and posted this here

Потому что причина этому — технологическая отсталость и всеобщее раздолбайство.
Посмотрите, какой бардак творится в налоговой и ПФР. Люди имеют по нескольку ИНН из-за технических ошибок. Люди теряют пенсии из-за того, что система вдруг назначила номер соцстраха другому человеку. Хотели бы, чтобы и с паспортами было так же?

UFO just landed and posted this here
Вот бы сейчас, живя и успешно работая в Европе, волноваться из-за электората России и пытаться спровоцировать срачь по поводу качества внутренних Российских паспартов на техническом ресурсе.
UFO just landed and posted this here
Никогда не понимал, зачем в комментариях обсуждать то, что не имеет отношения к посту.
Вы же, вроде как, за соблюдение законов и правил. Или правила «Хабра» европейцу можно игнорировать?
Вот список того, чего на ресурсе делать не следует:

Путать сайт с жалобной книгой
Если у вас проблемы с сотовым оператором, с провайдером интернета или хостинга, или с чем-то ещё, всегда можно связаться со службой поддержки нужного вам ресурса. Или с компетентными органами. Но не следует использовать «Хабр» как рупор, дабы рассказать всем о постигшей вас ситуации.
...

Да, в России всё ещё есть бумажный паспорт. Но ваше его неприятие к теме поста никакого отношения не имеет.
UFO just landed and posted this here
Поздравляю, вы привели именно ту цитату из правил, которой всегда прикрывались модераторы хабра, когда в статьях писали неудобные вещи о коммерческих компаниях, которые имеют на хабре свои профильные блоги. Поэтому в статьях и замазывают названия банков и сотовых операторов.

Это лишь в минус модераторам ресурса. Если в статье озвучена не единичная жалоба («У меня украли деньги!»), а конкретные технические подробности, особенно если подробности напрямую связаны с содержанием статьи (как в этой статье, например: схема работоспособна только для определённого оператора), то скрывать названия, боясь за рекламные контракты — верный путь к политике «Первого канала».
Ошибаетесь, имеет самое прямое. Это вишенка на торте в системе, где с персональными данными и приватностью полное болото. Статья отчасти именно об этом.

А какая разница, утекут данные бумажного паспорта или данные пластиковой ID-карты? Вопрос же будет заключаться в том, как на основании нового документа будут идентифицировать личность, а не в том, какую форму он будет иметь.
UFO just landed and posted this here
Я еще хочу добавить пример, что информация о семейном положении может быть в паспорте неактуальной. В бытность, мой отец, когда моя мама с ним развелась, не сходил на суд и как следствие — уже де факто будучи разведенным, у него в паспорте соответствующего штампа не было, т.е. как будто он все еще женат… Как бы залет. Я уж не говорю про внесение детей — это отдельная морока.
Так в том и вопрос, юридический, прежде всего, что, как, для кого, при каких условиях будет удостоверять ID-карта и какие данные о пользователе будут затребованы агентом ПД.
Те же паспортные данные от оператора утекают не потому, что у нас паспорт бумажный, а потому, что покупая сим-карту, я заключаю с оператором договор. Юридический документ. Который содержит данные обеих сторон, которые потом достаточны для осуществления диалога, официальной переписки, досудебного и судебного общения. При этом нам, сторонам, не потребуется обращение в ещё один орган для получения контактов друг друга. Да и нелогично такое обращение, договор только между двумя сторонами.
А мои данные утекают уже потом, из подписанного договора. Точно так же утекут и данные, взятые из ID-карты.
Так что простая смена формы проблемы не решит.
Проблема утечки данных — это другая проблема. Если оператору сотовой связи будет достаточно ФИО, даты рождения и номера карты, то проблема будет даже больше. Сейчас для реализации описанной в статье схемы взлома нам потребовался массив данных с чёрного рынка (номер, место и дата выдачи, адрес и т.п.). А если в договоре с оператором будет значится только номер ID-карты, для идентификации меня перед оператором будет достаточно назвать только его? Или будет канал проверки ID-карты? Но новый канал работы — новые «дыры» в безопасности и новые каналы утечки.
Я не утверждаю, что переход на ID-карту невозможен. Но всё же форма документа (бумажная книжка, карта, чип в теле), удостоверяющего личность, и слабая защищённость ПД и их торговля нечистыми на руку сотрудниками имеют слабую связь. И менять форму с мыслью, что этот шаг серьёзно поднимет безопасность ПД — заблуждение, как мне видится.
Информацию об адресе человека и семейном положении считаю приватной. В случае необходимости ее может узнать только компетентный и имеющий на то полномочия сотрудник, осуществив запрос по номеру ID-карты в государственную базу.
Ай ай ай, бегите поднимайте тревогу, в немецких то документах тоже приватный адрес пишут!

image
UFO just landed and posted this here
Вообще то я в курсе что это, у меня точно такой же был.
Я такой ответ и ждал, то есть приятную информацию не граждан можно не уважать?

Адрес на нем пишется потому, что в таком статусе у человека множество ограничений, в том числе сильная привязка к месту проживания
А почему же тогда на вклееных визах адреса нет, раз ограничения такие множественные? Это натягивание совы на глобус. Какая привязка? Где хочешь там и живи, никаких проблем
UFO just landed and posted this here
Ну слушайте, не надо в непонимание играть, понятно же, что я про то же самое разрешение на пребывание пример которого я привел. Виза которая шенгенская всегда вклеивается (ну может за каким то очень редким исключением). А вот разрешение на пребывание может быть (еще пару лет) либо карточкой, либо вклеено в загран. И на разрешении которое карточкой вы говорите
Адрес на нем пишется потому, что в таком статусе у человека множество ограничений, в том числе сильная привязка к месту проживания
А на том разрешении на пребывание которое вклеивается в паспорт и выполняет точно ту же самую функцию, адреса почему то нет. У тех, кому земля не сподобилась выпустить пластиковое разрешение а вклеила бумажку в паспорт «сильная привязка» пропадает? Я же говорю, это натягивание фактов.
А как насчет того, чтобы посмотреть на обратную сторону Ausweis. Адрес там еще как есть. При переезде менять документ не надо, на него просто клеят наклейку с новым адресом и ставят поверх печать. Source: переезжал несколько раз в пределах Германии, будучи гражданином.
Пример (картинка кликабельна):
image
Так уже с 2011 года как существует УЭК — универсальная электронная карта. Карта совмещала в себе функциональность платежного средства, удостоверения личности и других важнейших документов гражданина.
Выдавалась желающим по заявлениям и за эти годы было выдано 147 тыс. карт. Но первый эксперимент решено считать неудачным (по необъяснённым причинам). И теперь (ну как теперь, 3 года назад) стартовал проект Единого Электронного Паспорта, которые будут выдавать по заявлениям с 2021 года, а массовая выдача планируется с 2024.
UFO just landed and posted this here
Так а потому что эта новая карта будет завязана на платформу цифрового профиля гражданина, которую вот только начали пилить.
Вот статья недавно о ней была habr.com/post/432862
На карте будет просто ID в этой платформе/

Так вроде УЭК был введен не в 2011, а в 2013.
И с января 2017 выпуск и выдача прекращены. Да, есть слухи что Сбер перезапустит проект УЭК, но это только слухи.

Какие же слухи, всё давно утверждено. В оригинале новости не нашёл, но вот, довольно авторитетный источник.

В том виде в котором УЭК существовал с 2013-го года он всё же умер, сейчас разрабатывается новая реинкарнация с названием Платформа цифрового профиля гражданина, прототип которой планируют запустить к концу 2019. Про неё же, как я понял, и в вашей новости пишут.

Тут еще проблема всплывает. Номер паспорта — это по сути номер бланка, на котором он напечатан. И он хоть и уникален, но может меняться. Причем весьма часто (хоть каждый год паспорт меняй, только пошлину плати).
Те же ИНН и пенсионного («СНИЛС») являются уникальными идентификаторами человека на протяжении всей жизни. И не меняются. Даже в экстренных случаях (смена имени, уточнение даты и места рождения, смена пола....)
Номер паспорта — это по сути номер бланка, на котором он напечатан. И он хоть и уникален, но может меняться

Не-а. Вполне возможно существование нескольких людей с одинаковыми номерами паспортов, но выданных в разных отделениях. Единичные случаи имеются. Собственно, это одна из причин, почему с номером паспорта всегда требуют, кем и когда он был выдан.


Те же ИНН и пенсионного («СНИЛС») являются уникальными идентификаторами человека на протяжении всей жизни. И не меняются. Даже в экстренных случаях (смена имени, уточнение даты и места рождения, смена пола....)

Вполне себе меняются из-за ошибок в системах. И пока такие случаи довольно часты, ни о какой ID-карте речь идти не может.

извините, про указанные Вами случаи не в курсе. Я же простой обыватель :)
и смотрю с чисто бытовой точки зрения.
Если расскажете подробнее, то, думаю, это будет полезно всем.
А чего рассказывать? У тёщи два разных ИНН в двух регионах — это совсем частая ситуация. У налоговиков вообще туго с базами: они почему-то не могут сами сказать, сколько налогов я им заплатил, до сих пор приходится справки 2НДФЛ с работы брать.

Про ПФР:
regnum.ru/news/2537265.html

Про паспорта:
echo.msk.ru/blog/kanakovaek/1514936-echo
Про паспорта и ПФР — желтизна-желтизной.
Один кейс (ПФР) можно объяснить недобросовестностью сотрудников. В принципе, это из того же разряда, что если на Ваши паспортные данные «левый» человек возьмёт кредит.
Про паспорт — очень много но, но если действительно бланк паспорта не является уникальным номерным документом, то это очень страшная вещь. Скорее просто в цифре ошиблись или… Паспорт подделка. Сложно комментировать не зная сути ситуации.
Про ИНН в разных регионах я скорее поверю. Но все равно у нее должны быть оба документа с гербовой печатью о назначении ИНН физлицу.
Полностью поддерживаю.
Но нужно разделить все сервисы, которые получает потенциальный пользователь, по масштабам разрушений, если была украдена или подделана личность.
Условно — звонок в техпод провайдера от моего лица другим лицом — ничего страшного, ну, край без интернета посижу.
А вот с банком и моб. операторами — это может привести к гораздо более серьезным финансовым проблемам.
при этом физическое присутствие настоящего владельца этих данных вовсе необязательно.

Обязательно. Но проверить это потом нельзя трудно. Представим себе гипотетический допрос сотрудника того же ОПСОСа. Приходил такой-то? Приходил. Показывал паспорт? Показывал. Чем докажете? Вот, сняли ксерокопию. А чем докажете, что это именно он был? Глазами смотрели, он был.
Видеозапись с места. Банки — так вообще уже ввели требования, что нужно с веб-камеры снять фото человека, если он кредит берет.
Давно не брал, а везде так уже? Когда брал крайний раз, меня только один захотел снять. Отчасти из-за этого я взял не у него.
ВТБ, Сбер, Альфа — так точно.
Остальные не знаю.
А вы считаете это не вина ВК, что такое возможно? Все замарались. Если канал подтверждения по смс ненадежен, его надо или помериться как ненадежный и предложить по дефолту что-то другое или не использовать вовсе.
Paranoid mode on:
Что-то другое не привязано к вашим паспортным данным. А именно это и есть цель привязки телефона, скорее всего.
UFO just landed and posted this here
А что плохого конкретно, была простая авторизация, стала двухфакторная опционально. Причём, сами же пишете, что симки купить проблем все ещё нет.
UFO just landed and posted this here
Вы не ответили на прямой вопрос, я не про какие-то блокировки спросил
Насколько я помню, у Паши не было особых возможностей отказаться.

А вот с безвременно ушедшим Пашей и как следствие без телеграма как бы мы жили это интересный вопрос. Полагаю, не очень хорошо. Какие-то жалкие крохи сели бы та токс, но на этом бы все и закончилось.
Особенно забавляет «двухфакторная» аутентификация, которую можно обойти одним фактором.
UFO just landed and posted this here

Сейчас очень легко скомпрометировать эти данные даже ничего не сделав. Давно пора отказываться от них как от секретного ключа без проверки подлинности доков и юридически обоснованной связи представителя этих данных с субъектом

Сейчас почти любой несанкционированный доступ осуществляется с помощью методов социнженерии, а не уязвимостях в софте.
Опять Билайн впереди планеты всей. Похоже, что пора менять оператора. Написал в службу поддержки с ссылкой на эту тему, посмотрим, что ответят.
Зачем что-либо замазывать на скриншотах? Чем вы руководствовались, когда это делали?
UFO just landed and posted this here

Спасибо, автор. Ваш ответ сильно меняет восприятие обсуждения парой веток выше. Вернее, не сам ответ, а определённые его метаданные.

Я понимаю замазанные номер и паспортные данные. Это логично.
Но замазать название сотового оператора? И не замазать при этом названия других операторов?
Вся схема этого взлома основана на двух основных моментах:
1. Возможности приобретения чужих паспортных данных.
2. Уязвимости в службе поддержки конкретного оператора, которые позволяют через чат «Вконтакте» включить переадресацию для абонентского номера.
Информация о том, какой оператор имеет в безопасности такую дыру является ключевой для статьи! Тем более, для технической статьи на техническом ресурсе. Кроме того, такая информация, как минимум, позволяет другим читателям проверить работоспособность данного метода, хотя бы используя паспортные данные того лица, кто согласен на эксперимент. Например, я могу договориться с супругой/другом/коллегой, использовать их паспортные данные и свой номер телефона и проверить работоспособность схемы.
Если у нас технический ресурс и техническая статья, то в ней должна быть вся информация, чтобы другие могли её верифицировать. Включая явное указание названия оператора. А без него — это развлекательная статья для развлекательного ресурса. Как я могу быть уверенным в том, что чат с замазанным названием оператора происходил действительно с сотрудником оператора, а не с «левым» аккаунтом?
Близкое сотрудничество НЛО с оператором — это вообще смешно. «Он нам деньги платит, и мы про него плохое не пишем», — так что ли? Так такому НЛО самое место на «Первом канале», там такое НЛО любят. А техническому порталу с таким НЛО лучше в помойку.
UFO just landed and posted this here

Варианта всего два. Билайн или Теле2. Из-за того, что вы не знаете, какой из них — сразу на помойку?


Как я могу быть уверенным в том, что чат с замазанным названием оператора происходил действительно с сотрудником оператора

Вот ниже скриншот от Мегафона. Вы уверены, что диалог происходит с сотрудником Мегафона? Если да, у меня для вас плохие новости. Можно сделать такой чат с другом, а потом поменять ник или текст через development panel.


Верить вы можете только с определенной вероятностью. 100% доказательства вряд ли возможны в данном случае. Не у нотариуса же заверять диалог?

Не сразу на помойку, разумеется.
Но лично у меня положительное отношение к статье сразу снижается, когда вижу такие вот сокрытия.
Всё же, я надеюсь, «Хабр» — ресурс технический. Для технической статьи хорошо, когда в ней представлена вся информация, затрагивающая проблему. Особенно, когда эта информация явно известна. Это позволяет читателям проверить все предоставленные факты, провести исследование самому, возможно, опровергнуть предоставленные сведения.
А здесь же ключевая информация, имеющая непосредственное отношение с схеме взлома страницы «Вконтакте», скрыта. Зачем? Это снижает ценность статьи, ведь это лишь благодаря «дыре» конкретного оператора взлом возможен. А вместо использования информации из статьи я должен угадывать оператора. Это похоже на статьи в газетах, где «по информации из анонимных источников». Звучать может правдиво, но информация будет нести и меньшую степень доверия, и требовать ещё большей верификации.
Но замазать название сотового оператора? И не замазать при этом названия других операторов?


У меня такое чувство, что это было очень пошло выполненное свидетельство канарейки. То есть как бы не говорится о том, что сливает конкретный оператор, не называется, что это за оператор, но в итоге все всё поняли. Несмотря на то, что к пчелайну отношусь не очень, но это выглядит заказухой какой-то. (Нет, бритва Хэнлона работает, я с лёгкостью поверю, что это действительно так, но лучше бы уж автор контрпримеров от других операторов не приводил, а то слишком уж подозрительно выглядит)
Я в комментах чуть ниже кидал аналогичную историю с МТС. Понимаю, что такое может выглядеть подозрительно, но история распространённая и уже подтверждённая другими комментаторами. Думаю, это не тот случай, когда надо умножать сущности.

Регистрация через мобильник вообще зло.
Несколько раз оформлял временные симки официально, каждый раз к ним был привязан чейто профиль в ВК.
И это при том что спустя три месяца не использования оператор спокойно продает твой номер другому.

Операторы (МТС, Билайн) раньше только через полгода (180 дней) деактивировали номера, если они не пополнялись и не использовались. Неужели сроки сократили до трёх месяцев?

Мегафон мне через три месяца отрубил. Причем входящие звонки не считаются. Должен быть хотя бы один исходящий или СМС.

Да, сократили. В офисе Теле2 мне прямым текстом сказали: цель оператора- выручка с симки. Нет выручки — нет симки.
В общем, у меня стоит напоминалка — один раз в квартал отправить одну смску со всех карт.
UFO just landed and posted this here
У меня такое ощущение, что Вы как будто вчера родились. Вы только узнали, что можно купить информацию о вас? Или что есть люди, которые недоборосовестно выполняет свою работу?
UFO just landed and posted this here
Давайте хит сезона, фильм Т-34 лучше обсудим.

Наброшу для затравки — «Жаворонок» лучше. =)
В 2016 году национальный институт стандартов и технологий США (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации, но и по сей сервисы и пользователи используют возможность получить SMS/принять звонок, как основной способ подтверждения «да я это, я». Как минимум, включите использование одноразовых для входа в аккаунт.

image
И как это поможет, если коды всё равно могут приходить на телефон?
Именно это и поможет, потому что коды не смогут приходить на другой телефон.
Если включена двухфакторная авторизация, то сбросить пароль по SMS уже нельзя, об этом написано в подсказке (наведите на знак вопроса).

При этом, код двухфакторной авторизации всё равно можно получить по SMS, но чтобы его запросить, надо знать текущий пароль. А пароля злоумышленник, описанный в этой статье, не знал.

Резюмируя:
— если двухфакторная авторизация выключена, то для входа в аккаунт достаточно либо знать пароль, либо перехватить звонок робота на телефон для сброса пароля.

— если двухфакторная авторизация (неважно, с приложением TOTP, с получением второго фактора по SMS, с получением его пушами из приложения VK) включена, то для входа нужно знать пароль и перехватить SMS. А для сброса пароля нужно получить доступ к почте, что сложнее, чем перехватить SMS.

Почему в комментариях до сих пор не проскочила мысль о том, что ВК из двухфакторной аутентификации/авторизации сделал какую-то полуторафакторную, разрешив одному из факторов влиять на второй? Вот если бы пароль менялся только, например, письмом на почту — тогда надо было бы в общем случае компрометировать оба фактора. А вот с такими безопасниками и маркетологами 2FA становится чем угодно кроме того, чем оно должно быть.

В этом случае при потере доступа к почте в свой аккаунт было бы никак не войти. Так как ВК — сайт для самых широких слоёв населения, то потеря доступа к email — думаю довольно частый случай. Надо же как-то в этом случае свои аккаунты восстанавливать?

Для этого есть регистрация по номеру телефона. И в параллельной вселенной для нерукожопых желающих есть возможность к ней подключить второй фактор в виде какого-нибудь Google Authenticator, например. Но делать из двухфакторной аутентификации обычную регистрацию через СМС и продавать под видом двухфакторной — это попахивает.

Для широкой общественности есть однофакторная.

Вот если бы пароль менялся только, например, письмом на почту — тогда надо было бы в общем случае компрометировать оба фактора.

Если включена 2-факторная авторизация, то пароль меняется только письмом на почту (либо отправкой личного сообщения на устройство, где пользователь залогинен).

Поэтому мысль должна быть другая — почему топикстартер поленился её включить.
Довольно интересное название статьи. А сама суть лишь о том, что надо найти скан паспорта жертвы. Ну да ладно. Простой и безобидный пример на основе отечественной «корпорации добра» — и почему я не удивлён?!
У меня наверное вопрос даже не столько к автору статьи, сколько в целом к народу что ли: сколько отечественных и не очень сервисов (соцсети, мессенджеры, банкинг, что_угодно) используют аппаратные токены как второй фактор?
На территории Рунета я видел (не искал в принципе, а так наткнулся), что можно аппаратный второй фактор использовать на портале Госуслуг. Гипотетически на сайте «большого зеленого банка». А где ещё?
В случае с банками использование аппаратного токена довольно частый сценарий если речь идет про юрлиц.
Сравнительно недавно в «маленьком зелёном банке» на букву «А» аппаратные токены использовались даже для физлиц. Теперь вроде бы уже не используются, но возможность подтверждать операции кодами со скретч-карт, судя по информации на сайте, всё ещё есть.

Такие скретч-карты — это полноценный второй фактор авторизации, который практически невозможно взломать, разве что только утащить её целиком. Причём в отличие от чека с кодами из банкомата, её нельзя по-тихому сфотографировать и положить обратно. Примерно так выглядела моя, когда у меня ещё был договор с этим банком.
Аппаратные токены используются почти во всех банках, но только для юриков. Но надо понимать, что это атавизм, а для обслуживания физ.лиц принято использовать новые технологии. Поэтому сейчас во многих банках, в качестве второго фактора можно использовать одноразовые сеансовые ключи (по сути то же самое, но генерируется не железякой, а приложением на телефоне).
Ну и старые-добрые скретч-карты никуда не делись.

Кстати можно сказать спасибо GDPR за возможность почти на любом веб-сайте иметь возможность скачать архив со всеми данными об аккаунте без написания скриптов.

UFO just landed and posted this here
Так я ж и не говорю про функционал скачивания архива со всеми данными, я говорю про самописный скрипт, который скачает все самостоятельно в нужном формате. С вопросом скорости можно даже заморочиться, я недавно писал системку, которая «обходит» блокировку на > 1 запроса в секунду к вк. Суть такова, что программа делает запросы с разных серверов под одним и тем же аккаунтом (под одним ли токеном — не знаю, но не суть). Были проблемы с отправкой сообщений, постов и т.п., но с получением чего-либо — еще ни разу. 5 серверов с разными IP = как минимум 5 запросов в секунду можно делать спокойно, грубо говоря. Страницы не банили.
UFO just landed and posted this here
«обходит» блокировку на > 3 запросов в секунду к вк
Исправлено. Пруф

Суть такова, что программа делает запросы с разных серверов под одним и тем же аккаунтом (под одним ли токеном — не знаю, но не суть). Были проблемы с отправкой сообщений, постов и т.п., но с получением чего-либо — еще ни разу. 5 серверов с разными IP = как минимум 5 запросов в секунду можно делать спокойно, грубо говоря. Страницы не банили.
Ограничения идут на токены от одного приложения. Если получить от разных, то у каждого будет свой лимит на запросы. Утащил отсюда

Как-то делал запросы к вк, около 400 штук в секунду с одного аккаунта и одного ip-адреса. Съедало около 15Мбит исходящего трафика и 97Мбит входящего. Около 30-60 минут такая система проработала, когда страница получила вечную заморозку (это была не первая замарозка)
А каких-то общедоступных решений для выгрузки нет, кроме упомянутого скачивания архива? Ничего работоспособного не смог обнаружить. Полгода назад пришла мысль, что неплохо бы себя обезопасить на случай блокировки и забэкапить профиль. Но стандартная выгрузка включает в себя очень мало — все материалы типа фото и аудио представлены ссылками на сайт, а смысл в первую очередь в том, чтобы не потерять переписку и ценные кадры, которые могут быть в единственном экземпляре, в том числе и в переписках. Поэтому даже начал делать софтинку, которая бы выкачивала целиком, потом бы пришлось руками пройтись и лишние картинки повыкидывать, но количество свободного времени не оставляет надежды закончить раньше, чем в течение года.

Статья — полная кальяка с видео, где блогер разбирает эту ситуацию, возможно эмоционально и не компетентно, однако стоит указать источник.
Даже фразы одни и те же:"что он успеет сделать за 2 минуты"
Пруф, оригинал видео удалили.

youtu be QO_gMqkw3uM
Ссылку режет.

И?) Способ уже много где гуляет по сети, информация стара как мир. Мотивация и весь материал был взят с других мест и опять же, я не говорю, что все это придумал я (да и тут нечего придумывать).
forum.yurclub.ru/index.php?showtopic=382172 — вот, как минимум. Да и погуглить можно, как угоняют номера — найдется информация и за 2016 год.

Если вы про канал GERASEV, то тут я с вами не соглашусь. Видео я тоже видел, даже хотел вставить его сюда, как пример того, что данный способ получения доступа к чужому аккаунту афишируют блогеры и теперь любой нынешний 5-классник сможет воспроизвести все эти действия и получить доступ к аккаунту чужого человека.

Единственное что, переписки в видео все ненастоящие. Блогер как минимум утверждает, что практически все мобильные операторы недобросовестные, на деле оказался недобросовестным только один. И рекламирует он фигню какую-то.
Думаю, тут загвоздка не в операторе связи, а в конкретном человеке, что вам отвечает: кто-то может откликнуться, если Ваша история покажется убедительной (или у него недостаточно опыта), а кто-то ответит по шаблону, что так нельзя
UFO just landed and posted this here
То, что вокруг этого есть множество мошенников, которые играют на глупости, не означает, что купить (а иногда — и получить бесплатно) личные данные — нельзя. Потому, это все что вы написали — это straw man argument, он же — подмена тезиса.
Развод — разовый доход.
Честная работа — постоянные заказы, постоянные клиенты, развитие бизнеса. Понимаете?
UFO just landed and posted this here
UFO just landed and posted this here
продажей документов… Это просто способ развода.
Что если я скажу, что покупал документ?
С таким отношением к работе и бизнесу… Ну да, только «на хапок» работать.
К счастью (я не про сабж, а про нормальную работу), большинство относится серьезнее к своему делу.
У нас, в свое время, шеф покупал каждый год диски с базами ОМС, ГАИ и 09. У надежных качественных поставщиков. Тогда многие покупали. Постоянный спрос, постоянные клиенты, постоянный доход продавцов. Хоть они и жулики, по сути, но работали надежно.

Интересно каким такими скриптом вы все скопируйте с аккаунта при довольно большом ограничении на лимиты вызовов апи.

Не понимаю почему люди вообще считают двухфакторную дыру безопасностью.

Это можно считать безопасностью только если мобильник является дополнительным условием для логина, но никак не позволяет восстановить аккаунт. А так получается что вы отдали ключи от квартиры цыганам, а потом удивляетесь что еда из холодильника пропала.
Получил ответ от службы поддержки. Действительно, у Билайна огромная дыра в этом направлении и широкое поле деятельности для мошенников. Ниже скриншот ответа. Выводы делайте сами.

image
То есть чтобы закрыть дыру лично для себя — нужно прийти с паспортом в офис… Удобно.
Действительно легко))) Только нужно получить доступ к телефону и паспортным данным))) Есть еще более простый способ, ловим пользователя, вставляем ему термокриптоанализатор -> «Парам! ВконтакТ взломан!»"

Ну а если серьезно, это не вопрос безопасности, а скорее вопрос юзабилити, можно устроить конечно так, чтоб взломать ее было невозможно, личное присутсвие пользователя, нотариальное заявление рассматриваемое в течение 30 дней и т.д., но пользователи тогда просто побегут из такой сетки, потому что достаточно один раз забыть пароль, чтоб лишиться аккаунта навсегда.

Тот баланс между юзабилити и взломостойкости, который выбрал ВК кажется ему оптимальным, вам не кажется и что?

ВК, отнюдь не сетка, которая позицинирует себя сверхнадежным хранилищем конфиденциальной информации и надо быть весьма странным, что хранить там что-то секретней меню на НГ.

Только нужно получить доступ к телефону и паспортным данным
Если у Вас есть телефон, то считайте паспортные данные уже всем известны. Потому как у всех операторов базы абонентов утекают с завидной регулярностью. Да что там, даже в банках утекают.
А проблема безопасности тут в том, что один фактор аутентификации можно сменить с помощью другого. В результате получаем прямо противоположный результат — не дополнительный слой защиты, а ещё один вектор атаки.
Правильными вариантами восстановления было бы использование резервных кодов или почты:
1. Человек забыл пароль/потерял тел.номер. Нажимает кнопку восстановить.
2. Человек вводит тел.номер/пароль (тот фактор, который не забыл) и резервный код, или получает код/ссылку на почту.
3. Меняет забывший фактор.
По сути имеем три фактора и для замены одного из них надо иметь доступ к двум другим.
Резервный код как правило ещё проще забыть, чем пароль. Если он с подсказкой (типа вопрос-ответ), то злоумышленник может его подобрать.
Возможно, но тогда буратиной будет пользователь, а не сервис, отдавший аккаунт левому человеку.
Секретные вопросы вообще бред и черезмерно подверженны соц.инженерии. К примеру, вопрос «Как зовут Вашего питомца?», и в профиле в фотках «смотрите какой у меня милый котик Борис». Согласитесь, на «секретный» вопрос ну никак не тянет. Если таки заставляют их назначать, то лучше писать в ответ рандомные последовательности.
Проблема в том, что надёжной системы аутентификации для массового пользователя (который может забыть пароль и потерять телефон) так и нет. Если делаем полноценную непробиваемую 2FA, то при утрате любого из факторов аккаунт становится потерянным. А даже симку порой не так просто восстановить. В Мегафоне мне говорили обратиться в тот регион, в котором я симку получал. Если позволяем восстановить одну часть 2FA по второй части — получаем истории как в этой статье.

Например я, хоть наверное и более технически подкован, чем средний гражданин, всё равно время от времени и забываю пароли и теряю телефоны.
Согласен, нет удобной и надежной системы. Но тут вопрос, что лучше — просто потерять доступ к аккаунту, или дать доступ злоумышленнику. Я бы лично предпочел первое и, возможно, пойти на некоторые неудобства при восстановлении.
К тому же по той схеме выше можно восстановить доступ при потере одного из факторов (если не потеряли доступ ещё и к почте).
В Мегафоне мне говорили обратиться в тот регион, в котором я симку получал.

это Вы сейчас серьезно? Я что-то не хочу проверять на своем опыте… т.к. именно так и живу (симка из одного региона, а фактически в другом, а ехать 700 км из-за идиотизма оператора не хочется).
p.s. что-то мне подсказывает, что крепостное право в России все еще не отменили.
Я только в одной точке пробовал, может в каком-нибудь центральном офисе и сделали бы. Но в Москве мне предложили или ехать в свой регион или делать новую симку на новый номер.
В Теле2 аналогично, хотел старую симкарту поменять на новую, чтоб была поддержка 4G — «только в регионе, где приобретали».
К сожалению, в этом случае приходится писать эту рандомную последовательность в секретный оффлайн-блокнотик, который очень легко забыть в секретном сейфе у себя дома. А если не секретная рандомная последовательность, то какой же это секретный вопрос??? Я уж не говорю о том, что некоторые сервисы предлагают выбрать секретный вопрос из заранее определенногос списка (отлично, мы уменьшили энтропию до нескольких битов) и его ТОЖЕ нужно правильно выбрать. Мазохизм.
Взломостойкость должна соотвествовать конфиденциальности. У ВК есть сервис восстановления по телефону и паспортным данным. Автор добыл и то и другое и зашел в аккаунт.

Если ты решил использовать ВК, как хранилище секретной информации прими меры к тому, что один из факторов доступа будет чуть более секретный. Например, зарегай его на телефон, который знаешь только ты, симку спрячь в сейф и доставай только, когда надо восстановить доступ.

Делать многофакторную защиту на соцсетку глупо.
Только вот симка автоматически будет деактивирована по неактивности через 3 месяца, и номер перейдёт к другому абоненту. Не говоря уже про то, что номер придётся регистрировать не на себя. Если по номеру телефона можно узнать паспортные данные, вполне допускаю, что и по паспортным данным можно узнать все номера телефонов.

По поводу секретности данных — думаю, на любого пользователя, который активно пользуется ВК на протяжении нескольких лет можно накопать много интересного. Да даже если не копать, можно заняться выпрашиванием денег от лица взломанного например. И не говорите, что на такое больше никто не ведётся.
Взломостойкость должна соотвествовать хотя бы общепринятым нормам. Данный сервис восстановления им не соответствует. ВК, кстати, паспортные данные в данном случае не использует, только телефон. Это оператор облажался с переадресацией звонков, аутентифицируя пользователя только по паспортным данным.
Например, зарегай его на телефон, который знаешь только ты, симку спрячь в сейф и доставай только, когда надо восстановить доступ.
Как минимум этот номер будет знать ещё оператор с постоянно утекающими базами.
Делать многофакторную защиту на соцсетку глупо.
Да даже если и так, раз уж ВК решил её сделать, то пусть делает по всем правилам, а не только для того, чтобы собрать свою базу телефончиков.
Пардон. Вы правы, у ВК однофакторная защита, достаточно доступа к телефонным звонкам. Если отломать кнопку «позвони мне робот», чтоб этот метод перестал действовать, но в этом случае достаточно физического доступа к телефону.

Что по мне, так это достаточная защита для соцсети по дефолту, чтоб хранить в тайне от врагов список любимой музыки. Для параноиков наверно надо сделать дополнительную многофакторную защиту.
А может кто-нибудь из активных пользователей даркнета подсказать — на почве такого повсеместного провала с сохранением данных граждан, на сколько вырос рынок поддельных пасспортов. Мне думается что в ближайшем будущем это может стать правилом хорошего тона иметь всегда при себе левый пасспорт. Если бы конечно это стоило в разумных приделах.
Мне думается что в ближайшем будущем это может стать правилом хорошего тона иметь всегда при себе левый пасспорт.

www.consultant.ru/document/cons_doc_LAW_10699/03a2cf8e995e5efb0295ae74cd9f4829139c8447
Вот вам ответ, чем может закончиться такое правило хорошего тона.
UFO just landed and posted this here
Мне в МТС сменили симку вообще без просьбы предъявить паспорт. По факту я мог бы указать совершенно любой номер и получить любую симку.
Но ведь в данном случае двухфакторная аутентификация как раз спасает, поскольку если она включена, восстановить пароль можно только двумя способами: по электронной почте (если она привязана) или через поддержку если на странице есть настоящие фотографии. Способ с телефоном будет уже недоступен.
Это скорее не исключительная проблема вк, а всех сервисов с привязкой к телефону.
Как жителю Европы мне кажется диким что ни у кого здесь нет никаких сомнений в том, что данные можно пробить и купить за сущие копейки и никто с этим ничего сделать не может.

Казалось бы — это же непаханное поле для разотников спецслужб — регистрируешь условного Макса Мустерманна в сети оператора, идешь по объявлениям даркнета с пробивкой данных, в случае успешного получения данных прессуешь оператора что бы тот выдал имя клерка, который запрашивал эти данные. Повторять до тех пор, пока на погонах не останется места под новые звезды.

Неужели до этого никто не додумался? Или им выгоднее покрывать мелких мошенников которые запрашивают по еврику за слив реальных персональных данных?
в случае успешного получения данных прессуешь оператора что бы тот выдал имя клерка, который запрашивал эти данные.


А можно еще с мерной канистрой ездить по заправкам и всех, ВСЕХ паковать за недолив бензина.
Если кроме шуток: почему-то я уверен, что существуют и offline копии этих баз данных. И к некоторым из них уже имеют доступ те, у кого звезды на погонах.
<sarcasm_mode>А как тогда сами спецслужбы будут пробивать и находить людей, если закрыть дыры?</sarcasm_mode>
Когда у жены на работе со счёта, буквально на глазах увели больше миллиона рублей, и после анализа всех действий была куча зацепок, в полиции сказали примерно следующее НУ, БЫВАЕТ.

Проблема в том, что звёзд на погоны никто за это не даёт, работать сотрудник обязан по заявлению, заявление сотрудник органов брать не хочет, потому, что это нужно работать, да ещё и в 99% случаев полицейский вообще не понимает, что нужно делать, для него это тёмный лес, этим заниматься должен отдел К. А отделу К такие дела нафиг не нужны, зачем им ловить тех кто взламывает страницы в ВК или зарабатывает по 1000 р на сливе инфы?

У них есть работа по интереснее, там где увели десятки миллионов, там где фирмы платят и так далее.

Вот и получается, чтоб поймать мелкого жулика в Интернете, ты должен хоть что-то понимать, а как только ты хоть что-то понимаешь, то ловить мелких жуликов тебе не интересно и возится с ними не хочется.
Тогда понятно. Получается, что лучше бы просто не было никаких привязок к телефону-паспорту, а весь доступ давать только на паролях, чем такое.
Так все эти привязки нужны же не для того, чтоб пользователю лучше было. А для того, чтобы скармливать эти данные маркетоидной своре, которая после их анализа сможет максимально эффективно придумывать очередные подлянки для тех же самых пользователей.
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Да прав он. Может не так нагло как в РФ, но все примерно то же самое. Попробуйте свой social security где-нибудь светануть, ага.
Или вот, придите в спортивный зал и дадите им свою карту)) Но все будет хорошо, пока вы не решите уйти, вот тут то вы и поймете что такое платить годами за *** спортзал в который вы даже не ходите. И ничего сделать им не сможете. Наличные они не принимают, почему-то :)
UFO just landed and posted this here
я должен был бы с пеной у рта доказывать что-то. Но не вижу особого смысла.
что-то слишком длинное сообщение для таких заявлений.
UFO just landed and posted this here
А Йота, похоже, читает этот тред и теперь там отвечает в комментах.
За ресерч — плюс в пост, за кликбейт — минус в карму.
Было бы неплохо хотя бы, чтобы операторы тотально логировали доступ к ПД и вставляли по первое число и увольняли тех, кто сливает их, при жалобе реального абонента на такие манипуляции с номером и симками…
UFO just landed and posted this here
Я работаю в частной поликлинике, где около 2000 клиентов оставили паспортные данные и номер телефона, а еще «стандартный договор» о персональных данных, по которому поликлиника может передавать их любым 3-м лицам. И не надо ни какого даркнета.
Почему не показан оператор, который разрешил переадресацию?
UFO just landed and posted this here
Для неверующих, что такое возможно. Вот история с ноября прошлого года, где аккаунт ВК был угнан по очень похожей методике: vc.ru/claim/51650-tehpodderzhka-kotoraya-vam-ne-pomozhet-kak-mts-otdal-moshennikam-moy-nomer-a-vkontakte-akkaunt. Только на этот раз был не Билайн, а МТС.

Насколько я понимаю, доступ к аккаунту человек так и не вернул.
php_freelancer, Привет

То что ты описал выше никак не доказывает что 2FA не спасает…
Даже если ты получишь доступ к номеру жертвы, к её паспортным данным, ты всё равно столкнёшься с 2FA, и дальше уже пройти не сможешь.
Так как окно рестора будет выглядеть совсем иначе…
Тебе для дальнейшего восстановления страницы придётся получить сформированную ссылку на почту ( по которой зарегистрирована страница ), по которой ты уже сможешь окончательно восстановить страницу.
И уже возникает вопрос где и как ты получишь доступ к почте жертвы?
UFO just landed and posted this here
Если нет почты, то для сброса пароля (при включённой 2FA) нужно быть залогиненным на каком-то другом устройстве, куда в личку придёт код. Телефон уже не используется при сбросе.

Включение 2FA убирает телефон из схемы сброса пароля.

Таким образом, злоумышленник из статьи уже не смог бы войти или сбросить пароль. Для входа ему бы понадобился старый пароль (который он не знал) и код 2FA из SMS. А для сброса пароля ему бы понадобился доступ к почте, либо активная сессия. Ни того, ни другого у него не было.
При подключении 2FA, привязка почтового ящика обязательная процедура.
судя по отсутствию в приведённых «хороших» сканах, «плохой» оператор — Билайн?
Скорее всего да. Но суть в том, что переадресацию в пчелайне можно сделать всего лишь тремя способами:
  1. ЛК на сайте
  2. через доступ к исходному мобильнику
  3. звонок консультанту

Автор пишет про четвертый способ)))
Статья любопытная и в теории так сделать можно. Но на практике есть очень много но и переменных. Операторы в рф самостоятельно переадресацию не делают (да, даже виртуальные не делают), плюс только через номер восстановить пароль в ресторе нельзя (это же 2фа), нужен доступ и к почте.

Для взлома и входа злоумышленнику из статьи понадобился бы старый пароль (который он к моменту переадресации уже должен был знать) и код 2FA из SMS. А для сброса пароля ему бы понадобился доступ к почте, либо активная сессия.

Для меня загадка, почему до сих пор не используется авторизация на сертификатах x509?

UFO just landed and posted this here
Странно, что дискуссия так сильно разрослась. Вроде бы автор говорит лишь об уязвимости одной из больничек, в данном случае ВК.
И жаль тех, для кого потеря доступа в ВК может сильно изменить ход его жизни.
UFO just landed and posted this here
А каким образом они перехватывают их? Дублируют SIM?
UFO just landed and posted this here
Т.е. торгуют сами (спец)службы? Такие мероприятия разве не по решению суда?
UFO just landed and posted this here
Я не сомневаюсь, что подобное процветает, да и сам видел не раз. Интересно просто, как происходят утечки.
UFO just landed and posted this here
UFO just landed and posted this here
кто-то не стесняется указать свою карту в телеграме

не факт что это собственная карта, можно приобрести карту на «левого» человека, который и знать о её существовании не будет.
В остальном как писали выше, получить доступ к СМС можно и менее сложными путями

Как говорится, удобства порождают уязвимости))
Кстати, реальная история, которая приключилась со мной и картой. По теме «найдут/не найдут».

Есть же пул кулхацкеров, которые взламывают странички в вк и делают рассылку по друзьям с целью «займи денег». Однажды нарвался на такого, и сыграл психологический фактор, т.к. знакомый — программист, от него уж точно не ожидал. В общем, перевел ему по карте 2000 рублей.

На следующий день тот мне пишет мол, извини, взломали. Думаю, черт возьми, попался!
Потом закралась мысль — я же знаю номер карты. Можно будет найти ублюдка.

Пошел в отдел по району писать заяву. А там произошло удивительное чудо. Вышел мужичок и вежливо мне рассказал о том, что скорее всего никто никого искать не будет, таких дел over 100000, и это самые проблемные дела, которые, как правило, не раскрываются. Карты зарегистрированы обычно на бомжей или приезжих, либо на фейковые адреса и тому подобное. На мой вопрос, нельзя ли сопоставить IP адрес, например, и чисто теоретически
по паре сравнить держателя карты и список абонентов, которые выходили в сеть у провайдера в определенное время, мне ответили, мол, это всё время, VK очень долго отдает данные, это все может затянуться на полгода и так далее и тому подобное.

Разочаровался, конечно, и ни в коем случае не афиширую. Просто информация к размышлению :)
Карты зарегистрированы обычно на бомжей или приезжих, либо на фейковые адреса и тому подобное.
Тут нет проблемы. Востребовать с банка, выпустившего эту карту — банк то реальный, а не фейковый, поди.

Бомжи, приезжие, фейковые адреса и тому подобное — это проблемы банка (при выдаче банковской карты) а не ваши проблемы.

Если банк откажется от возврата денег — то подать в суд на банк, а не «на бомжа, приезжего и фейковый адрес», подавать и судить этот банк до тех пор пока он не возвратит все деньги (плюс расходы на суды, плюс моральную компенсацию вам), либо не обанкротится.

Пара таких дел (с освещением в СМИ и соц. сетях) и никаких взломов и с переводом денег не будет вовсе (пример США тому есть — там вам вернут враз деньги, и сам банк будет разбираться кто это и почему выпустил карту «на бомжа, приезжего и фейковый адрес»).

P,S. Шаблон ясен — Надо не искать злоумышленника по IP и бить ему морду (это не ваше дело вовсе) — а требовать возмещения ваших потерь с провайдера, банка, владельца сайта и прочих и прочих — именно они и должны вам всё возместить (прямо или по суду, если упрямятся), а уж как они будут сами себе компенсировать свои убытки от этого (устанавливать новое ПО, новые замки, новые технологии, искать, хватать, не пускать… или страховать свои риски, как в Штатах) - это их дело, их путь, их бизнес. Поди.
Это всё понятно, но видите ли, в чем дело. Перевод был добросовестный. Т.е. обычный перевод с карты на карту. Банк, без уведомления органов ничего делать не будет, как мне объяснила женщина из отдела информационной безопасности. Следовательно должна прийти весточка оттуда, которая может прийти лет через 5 или вовсе не прийти, как мне внятно объяснил уже человек в органах. Этим попросту некому заниматься.

Не говоря уже о том, что сумма для таких дел вообще ничтожная.
Очень странная статья. Весь ее смысл сводится к тому, что некий единственный и замазанный оператор (предположительно билайн) имеет очевидный косяк, позволяя левому человеку, зная фио, паспорт и телефон подключить переадресацию на свой номер. Ну тогда и надо было писать — билайн имеет дыру в безопасности. Это не имеет никакого отношения ко всему остальному. Паспортные данные, фио и телефон может знать например ревнивый бывший муж или жена и вообще родственники.

Удивителен подход к раскрытию информации. Почему проблемный оператор замазан — чтобы они на вас в суд за клевету не подали чтоли? Скрины уведомлений о подключении переадресации не имеют ни дат, ни даже времени. Верим на слово. Кусок текста про якобы покупку паспортных данных не имеет вообще никаких скринов. Странно, при такой покрытости топика скриншотами, не приложить скрины результата оказания этой услуги, разумно замазанной от своих перс. данных. Вот прям с мамой и бабушкой. Тоже верим на слово.

Топик подозрительно напоминает топики с громкими заголовками товарища Drebin893, который тут активно пишет про всёпропало проблемы конкретно и исключительно в России с защитой персональных данных, но в подтверждение показывает только какие-то левые объявления, которые любой желающий может наклепать в интернете сотнями.

Да, и причем здесь двухфакторная авторизация? Она и от паяльника не спасет, если что

Статья по ценности тянет разве что на пикабу, для хабра она абсолютно непрофессиональна, тем более, что про эту уязвимость, как пишут выше — давно известно.

UFO just landed and posted this here
UFO just landed and posted this here

Articles