Вчера на habrahabr появилась заметка о наличии уязвимости в мобильной версии социальной сети «ВКонтакте». В ней речь шла о том, что через функционал восстановления пароля на сайте m.vk.com можно получить аватар и имя пользователя. Автор статьи предложил использовать базу телефонных номеров для сбора дополнительных сведений (имя, фамилия и аватар) об их владельцах. Брешь в мобильной версии была относительно быстро закрыта администрацией ресурса, однако она до сих пор присутствует в основной версии сайта.
Функционал восстановления пароля на сайте «ВКонтакте» доступен по этому адресу:
http://vk.com/restore
При вводе номера телефона или email можно получить те же данные: имя и фамилию пользователя, а также его аватар.
Кроме того, точно такая же брешь обнаружена на сайте Facebook.com. По следующей ссылке можно получить имя, фамилию и аватар:
https://www.facebook.com/recover/initiate
Пока неизвестно, когда будут устранены эти уязвимости. В качестве временного решения мы рекомендуем своим читателям изменить личные данные в социальных сетях, чтобы не позволить мошенникам определить личности владельцев номеров телефонов.
Источник: SecurityLab
|
