Jump to content
Форум vzlominfo.xyz | Хакер в Помощь
  • loga.png

houdini

Как взломать страницу в вк

Recommended Posts

 

 

 

 

«Дуров был щедрым человеком, который понимал, что не существует идеальных систем»

Как «ВКонтакте» следит за безопасностью и чем опасна последняя утечка данных за 2012 год

  •  
  •  
  •  
 
main_Screen_Shot_2016-06-07_at_4.32.33_P

6 мая появились сообщения о продаже логинов и паролей 100 миллионов пользователей «ВКонтакте». При этом авторы портала LeakedSource, на котором была размещена информация об утечке, заявили, что соцсеть не использует алгоритмы хеширования и шифрования паролей, то есть данные пользователей не защищены должным образом. Чуть позже представитель «ВКонтакте» отверг все обвинения, уточнив, что сама база и вовсе относится к 2012 году. theRunet решил узнать, какие ещё уязвимости присутствуют в соцсети и как компания работает с багами.

2012 все еще опасен

По мнению Евгения Красникова, сервис LeakedSource нагло врёт и, видимо, использует эту историю для самопиара в расчёте на то, что её подхватят журналисты, которые не станут докапываться до сути вопроса. 

main_photo663328854323079109.jpg
Евгений Красников
ПРЕСС-СЕКРЕТАРЬ ВКОНТАКТЕ

«У «ВКонтакте» есть специальная система хранения для паролей с хешами и шифрованием, которая позволяет нам обеспечивать максимальную безопасность данных для входа пользователей на страницы»

Тем не менее, Михаль Салат (Avast) считает, что даже данные из старой базы все равно могут нанести ущерб пользователям. На данный момент взломанные аккаунты продаются на черном рынке за 1 биткоин и все еще могут быть использованы в корыстных целях. 

Например, если пользователь «ВКонтакте» не менял свой пароль, а также использует одинаковые комбинации для соцсети и для почты, то хакеры получают доступ ко всем письмам и к запросам на смену паролей — благодаря чему могут поменять пароли практически на любом сервисе.

main_AAEAAQAAAAAAAAXoAAAAJGZkZjY3OWM5LWR
Михаль Салат
ВЕДУЩИЙ ВИРУСНЫЙ АНАЛИТИК КОМПАНИИ AVAST

«Исследование Avast, проведенное в октябре 2015 года, показало, что 62% россиян, которые подвергались хакерским атакам, не поменяли пароль на взломанном сайте, и только 12% поменяли его на тех порталах, где использовали такой же пароль.

Это же исследование выявило, что 12% россиян никогда не меняли пароли, 36% делают это редко, и только 12% меняют пароли каждые 3 месяца. Сейчас, например, 12% россиян из нашего исследования, которые никогда не меняли свои пароли в «ВКонтакте» в 2011–2013 годах, подвержены риску взлома со стороны хакеров.

Мы настоятельно рекомендуем всем пользователям «ВКонтакте» немедленно изменить свои пароли, и не только на «ВКонтакте», но и на других сервисах, где они использовали аналогичные комбинации. Социальные медиа содержат огромное количество персональной информации, поэтому, даже если вы используете пароль «ВКонтакте» только на этом сайте, хакеры могут собрать достаточно информации из вашего профиля и сообщений и скомпрометировать вас. Мы также рекомендуем использовать менеджер паролей для защиты своих онлайн аккаунтов сильными паролями, которыми легко управлять»

 

Кредит по паспорту

Впрочем, многим пользователям стоит опасаться не только увода логина и пароля. По документам «ВКонтакте» до сих пор можно найти множество сканов страниц паспорта, дипломов, проектных деклараций, бизнес-планов и многих других приватных документов, относящихся к коммерческой тайне или персональным данным.

main_photo663328854323079109.jpg
Евгений Красников
ПРЕСС-СЕКРЕТАРЬ «ВКОНТАКТЕ»

«Что касается поиска по документам, действительно, каждый файл, который загружается пользователями ВК, по умолчанию недоступен в поиске. Так было всегда. Это принципиальный момент, потому что безопасность наших пользователей и их данных всегда ставится во главу угла.

При этом если пользователь хочет изменить приватность загруженных документов, он может выбрать нужный уровень доступа. Начинающие писатели, например, могут сделать свои книги доступными всем, чтобы познакомить со своим творчеством сотни миллионов пользователей «ВКонтакте»

 

main_q.jpgПаспорт, выгруженный из «Вконтакте»

Однако это не совсем так — изначально сервис «Документы» в соцсети был публичным, но его быстро начали использовать его для передачи личных документов. 

По мнению Антона Лопаницына, проблема здесь в том, что от человеческой глупости нет патча.

main_PgoeTLQlvdE.jpg
Антон Лопаницын (Bo0oM)
СПЕЦИАЛИСТ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ ONSEC

«ВКонтакте» подстраивается под людей. Когда объявили функциональность документов — говорили о том, что они публичные. Но люди стали заливать туда персональные данные. Тогда добавили галочку, мол, личный документ, но люди заливали документы и не ставили галочку»

main_%D1%82%D0%B2%D0%B8%D1%82%D1%82%D0%BВ Twitter есть аккаунт, который собирает фото кредиток тех, кто их выкладывает

Впрочем, не только во «ВКонтакте» пользователи ведут себя непредусмотрительно. В Twitter есть аккаунт, который собирает со всей сети фотографии кредитных карт, которые пользователи выкладывают в открытый доступ. С помощью этих данных в некоторых онлайн-магазинах можно оплатить товары и услуги. 

Уязвимость по DNS Spoofing, Как взломать страницу в вк

Артем Дизычев считает, что проблема с документами — не самый опасный баг Вконтакте. Дело в том, что уотсутствие принудительного https (hsts протокола) позволяет получить данные пользователей.

main_Screen_Shot_2016-06-07_at_4.39.27_P
Артем Дизычев
ПРОГРАММИСТ, СИСТЕМНЫЙ АДМИНИСТРАТОР NULLCH.RU

«В каком бы виде не хранились пароли, их можно отловить очень просто через DNS Spoofing. Например, есть у нас жертва, которая пользуется https протоколом связи с ВК. А нам нужно получить ее логин/пароль. Поначалу это кажется трудным, но если мы начнем копать дальше, понимаем, что ВК не поддерживает протокол HSTS, который помог бы в этом деле.

Собственно, hsts принудительно заставляет пользоваться https протоколом. А значит, если пользователь получает страницу, которая не является подлинной, ВК никак не противится этому, а спокойно разрешает получать данные по http. Даже авторизация проходит, минуя https. Собственно, если грамотно реализовать систему работы с всем этим добром — можно получать логины/пароли особо не напрягаясь»

 

main_w.jpgДанные пользователей, полученные с помощью уязвимости в DNS Spoofing Как «ВКонтакте» работает с багхантерами

Как правило, за обнаружение багов ВК давали вознаграждение в виде голосов (внутренняя валюта «ВКонтакте», которую можно перевести в рубли). Год назад у социальной сети появилась полноценная программа Bug Bounty. 

Ее функционал ограничен поиском технических уязвимостей в сервисах компании и в ее официальных мобильных приложениях (Android, iPhone/iPad, WinPhone).

В качестве уязвимостей не принимаются: сообщения от сканеров безопасности и других автоматических систем, сообщения об уязвимости, основанные на версиях ПО/протокола, без указания реального применения, сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например отсутствие CSRF токена) без указания на реально существующие негативные последствия, framing, clickjacking, Logout CSRF, социальная инженерия, сообщения об Open Redirect (/away.php), selfxss.

Как взломать страницу в вк

В отчете нужно указать тип уявзимости, как её можно эксплуатировать, повторить и исправить.

Минимальная выплата составляет $100 и может быть получена только в том случае, если уявимость не использовалась ранее против пользователей «ВКонтакте».

Антон Лопаницын говорит, что раньше за баги не платили, потому что руководство не хотело отдавать деньги и не понимало, зачем их тратить, когда есть разработчики, которые должны тщательно смотреть свой код. 

В 2015 году ввели Bug Bounty (система поощрений для внешних программистов, которые находят уязвимость и сообщают о ней) и наняли специалиста по информационной безопасности. 

main_PgoeTLQlvdE.jpg
Антон Лопаницын (Bo0oM)
СПЕЦИАЛИСТ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ ONSEC

«Он что успевал, то и закрывал. Опять же, когда я находил критичные уязвимости — их закрывали в первую очередь ($2k-$2,5k). Менее критичные — долго ($100–500). До сих пор висит незакрытое. Почему? Потому что ресурсы. Их нехватка. Инцидентов нет, зачем нанимать большое количество людей. Хотя, вот месяц назад на площадке hackerone появились еще два, видимо наняли»

«ВКонтакте» иногда не платит за баги, но связано это с тем, что элементарно не хватает рук добраться до каждого репорта. Люди, которые требуют денег после публикации бага, в лучшем случае вызывают недоумение.

main_PgoeTLQlvdE.jpg
Антон Лопаницын (Bo0oM)
СПЕЦИАЛИСТ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ ONSEC

«Мое мнение. Хочешь денег — сообщай куда следует (в hackerone). Открыл информацию в публичный доступ — иди нафиг. Просто «хакеры» стали очень алчные в последнее время, потому что приходит новое поколение. Низкий порог вхождения, малые знания. Вот вам бага, давайте денег.

А необходимо исправить уязвимость в коде (а это бывает непросто), оттестировать заплатку (чтоб ничего не падало), заменить текущий код (вот представьте сколько серверов у «ВКонтакте» и туда надо поместить новые исходники)В общем, я Bug Bounty доволен, потому что понимаю, что это не от лени, а скорее всего от нехватки ресурсов. Ну и недовольство багхантеров понимаю»

 

Камиль Хисматуллин, автор решения как взломать страницу в вк, нашёл уязвимости по закрытию приватных картинок, также доволен работой Bug Bounty.

main_ixCiOb5jlAY.jpg
Камиль Хисматуллин
НЕЗАВИСИМЫЙ СПЕЦИАЛИСТ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

«Опыт работы с новой Bug Bounty программой ВК очень положительный. Радует, что с ребятами можно переписываться на русском, да и размер вознаграждений почти сравним с такими компаниями как Google и Yahoo. Немного печалит задержка с ответами, но это можно понять: у других компаний есть целые команды и отделы, которые работают с хакерами и чинят баги, а у ВК, насколько я знаю, над этим работают только 2–3 человека»

Артем Дизычев уточняет, что Bug Bounty работает по принципу кто первый обратился, тот и получит вознаграждение. Сумма определяется от критичности уязвимости. 

main_Screen_Shot_2016-06-07_at_4.39.27_P
Артем Дизычев
ПРОГРАММИСТ, СИСТЕМНЫЙ АДМИНИСТРАТОР NULLCH.RU

«Опыт работы был, но я не был первым, кто опубликовал отчет. А еще одна заявка до сих пор висит непросмотреной и уязвимость не закрыта. Рассказывать детали пока не буду. C приходом Mail.Ru выплаты и реагирование на уязвимости стали унылыми и не интересными.

Павел был щедрым человеком, который понимал, что не существует идеальных систем. А эти ребята… за активную xss в их соцсети «Мой Мир» они выплатили всего-лишь $300. И пришлось за ними бегать около года. Вот такие вот дела»3

 

 

Статья Как взломать человека в вк

Share this post


Link to post
Share on other sites

Мы предлагаем взлом социальных сетей на заказ:

Быстро! Качественно! Анонимно! Недорого!

 

 

 

vk.png Заказать взлом вконтакте!!!
Заказывая у нас взлом аккаунтов vk.com вы получаете:

 

* Логин и пароль для входа в аккаунт пользователя

 

* Гарантию три недели на логин и пароль  (если пользователь сменит пароль в этот период повторная услуга бесплатно)

 

* Гарантированную анонимность  (это наш приоритет, для нашей команды, нет нечего важнее чем, безопасность и абсолютная анонимность наших клиентов)

 

* Быстрый и качественный результат  (у нас есть, глубокое понимание того, что время деньги, мы дорожим вашим и нашим временем)

 

* Подробную инструкцию безопасности  (самая полная и на сто процентов понятная инструкция по безопасности)

 

 

 

 

 

 

 

Контакты 

 

[email protected]

 

В теме укажите то что нужно будет взломать.

 

 

Почему мы? К нам, каждый день обращаются десятки людей. Мы дорожим своей  деловой репутацией и стремимся предоставить наиболее качественные услуги. Мы не просим, на перёд, оплата после убедительных доказательств, на ваш выбор! Мы это коллектив единомышленников, которые занимаются исключительно в направлении помощи клиентам, то есть это не наше хобби, а работа. которой мы дорожим. Работая с нами вы можете быть в полной уверенности за результат.

 

Я не хочу долго рекламировать нашу команду, лучшая реклама, это наша работа. Воспользуйтесь нашими услугами и убедитесь в этом.     

Share this post


Link to post
Share on other sites

После ухода Дурова и его программистов которые ушли с ним (а с ним ушли лучшие) ВК стал более уязвимым. Любой, кто имеет, относительно средние познания в iT, сможет взломать вконтакте.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×