Комментарии 21
Не хватает технического описания методики.
Напоминает школьника — говорит «а я вчера взломал mail.ru — применил социнженеринг.» А на вопрос «А как ты это сделал» отвечает «нууу… это очень сложно. И вообще секрет».
Напоминает школьника — говорит «а я вчера взломал mail.ru — применил социнженеринг.» А на вопрос «А как ты это сделал» отвечает «нууу… это очень сложно. И вообще секрет».
Cоц.инженеринг доступен каждому, нужно проявить смекалку и ничего более. Автор это явно дал понять. «Причем не путем технических атак, а только с помощью социальной инженерии»
Как я понимаю, попытка взлома моего twitter — реакция на мои комментарии? :)
Очень интересует переписка с Gmail. Неужели двухфакторная авторизация не спасла? Служба поддержки не может посмотреть, что она сейчас активна с телефона? Или спросить номер кредитки с google wallet?
Логи общения с лояльной техподержкой в студию
Присоединяюсь к предыдущим товарищам — как удалось обойти авторизацию через сотовый телефон в Google/Gmail?
Подтвердите логами или другим путем. До сих пор двухшаговая авторизация Гугла считалась непробиваемой. Как вам удалось убедить техподдержку, что вы — владелец аккаунта?
Подтвердите логами или другим путем. До сих пор двухшаговая авторизация Гугла считалась непробиваемой. Как вам удалось убедить техподдержку, что вы — владелец аккаунта?
Не знаком с российскими сервисами, но как говорит автор, перед ним не устояла двух-уровневая система от Гугл, что в случае незначительного искажения описанной информации является серьезным недостатком.
И меня сильно беспокоит.
Поэтому, извольте, мало-мальски понимаемые результаты в студию, описание процедуры или что-то подкреплённое доказательствами.
Спасибо.
И меня сильно беспокоит.
Поэтому, извольте, мало-мальски понимаемые результаты в студию, описание процедуры или что-то подкреплённое доказательствами.
Спасибо.
Автор, по его словам, использовал социальную инженерию. В принципе, если он знал ответы на все вопросы формы, которая генерируется Гуглом когда нет доступа к аккаунту/телефону/второму телефону и т.д (там много вопросов — когда открыт аккаунт, последний известный recovery email address, какими сервисами Гугла пользуешься, ответ на секретный вопрос, названия labels, наиболее частые адресаты и т.д.), то, теоретически, можно получить доступ к аккаунту. На практике, хотелось бы знать, что было известно об аккаунте и предоставить логи «в студию». Иначе топикстартер или «не совсем говорит правду» или у Гугла очень серьезные проблемы в плане обеспечения безопасности.
1 698px × 1 105px (в масштабе 757px × 493px)
Не, серьезно?
Не, серьезно?
Отдельно хотелось бы выделить Яндекс. Это замечательный пример того, как не стоит закручивать гайки. Нам не удалось получить доступ к аккаунту пользователя из-за слишком суровых требований к процедуре восстановления пароля. Например, увели у вас почтовый ящик с Яндекс.Деньгами. Телефон вы не привязали. Секретный пароль не вспомнили. Служба поддержки требует паспорт. Все пропало. И Яндекс.Деньги, и Яндекс.Почта.
Что за страшный бред? То, что вы не смогли предоставить скан паспорта легитимного пользователя называется примером того, как НЕ стоит закручивать гайки? Почему это плакали Деньги и Почта?
Что за страшный бред? То, что вы не смогли предоставить скан паспорта легитимного пользователя называется примером того, как НЕ стоит закручивать гайки? Почему это плакали Деньги и Почта?
НЛО прилетело и опубликовало эту надпись здесь
Бред какой-то, а не статья. Мы всех взломали, мы молодцы! А как — мы вам не скажем!!! В чем смысл вашего поста, если нет внятного описания благодаря чему стал возможен доступ к аккаунту, например, гугла?
Большое спасибо за обратную связь, вопросы и комментарии.
Более детальную информацию об исследовании можно получить по следующей ссылке.
К сожалению, мы не можем опубликовать полную информацию в настоящий момент, поскольку несколько вендоров пока все еще устраняют обнаруженные недочеты.
В некоторых случаях это потребует изменения процедуры восстановления пароля и регламентов службы технической поддержки. Естественно, такие вещи быстро не делаются. Компания Positive Techologies следует политике «ответственного разглашения» (responsible disclosure), что позволяет снизить негативные последствия для индустрии в такой щекотливой области как анализ защищенности и поиск 0-day. Ведь не секрет, что неаккуратное разглашение уязвимостей может привести даже к падению курсов акций компаний.
Что касается Google, то команда Positive Research оперативно связалась с secure@ и получила подтверждение, что работа над обнаруженной проблемой ведется в рамках тикета #865306964
После того как вендоры устранят уязвимости, мы опубликуем детальную информацию.
P.S.: В случае с Яндексом следует читать: «все пропало [для хакера]». Для него, милого.
Еще раз спасибо за комментарии,
команда Positive Research
Более детальную информацию об исследовании можно получить по следующей ссылке.
К сожалению, мы не можем опубликовать полную информацию в настоящий момент, поскольку несколько вендоров пока все еще устраняют обнаруженные недочеты.
В некоторых случаях это потребует изменения процедуры восстановления пароля и регламентов службы технической поддержки. Естественно, такие вещи быстро не делаются. Компания Positive Techologies следует политике «ответственного разглашения» (responsible disclosure), что позволяет снизить негативные последствия для индустрии в такой щекотливой области как анализ защищенности и поиск 0-day. Ведь не секрет, что неаккуратное разглашение уязвимостей может привести даже к падению курсов акций компаний.
Что касается Google, то команда Positive Research оперативно связалась с secure@ и получила подтверждение, что работа над обнаруженной проблемой ведется в рамках тикета #865306964
После того как вендоры устранят уязвимости, мы опубликуем детальную информацию.
P.S.: В случае с Яндексом следует читать: «все пропало [для хакера]». Для него, милого.
Еще раз спасибо за комментарии,
команда Positive Research
Полная версия исследования доступна здесь: www.ptsecurity.ru/analytics.asp
В вашей pdf-ке написано, что Гугл уже устранил уязвимость. Можете ли вы теперь сообщить, как удалось прикинуться владельцем аккаунта (например, «я знал емаил адреса наиболее частых адресатов „жертвы“ и его мобильный телефон)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Восстановление пароля – хакеры, welcome!