Социальная сеть "ВКонтакте" изменила страницу восстановления доступа к аккаунту, чтобы предотвратить несанкционированное разглашение номера телефона пользователя. Изменения были введены 23 мая, отмечается в неофициальном сообществе обновлений "ВКонтакте" "LIVE Экспресс".
Теперь при восстановлении доступа к странице пользователь видит только международный код и две последние цифры номера, на который придет специальный SMS-код. Раньше "ВКонтакте" выводила весь номер, за исключением четырех последних цифр.
21 мая специалист по информационной безопасности Дмитрий Евтеев описал уязвимость такого подхода. Он указал, что при восстановлении доступа к аккаунту в Facebook видны четыре последние цифры номера, а в Google — последние две. Во всех трех сервисах для получения этой информации нужно знать только адрес электронной почты, на которую зарегистрирована страница.
Таким образом, если пользователь для регистрации во "ВКонтакте" и в Facebook использовал один и тот же номер телефона и адрес электронной почты, то злоумышленник мог выяснить номер, зная только этот адрес. В случае комбинации "ВКонтакте" — Google раскрывался весь номер телефона, кроме двух цифр, которые можно перебрать за 100 попыток.
Новая страница восстановления доступа к аккаунту во "ВКонтакте" по номеру телефона
Старая страница восстановления доступа к аккаунту во "ВКонтакте" по номеру телефона
Страница восстановления доступа к аккаунту в Facebook
Привязка номера телефона к аккаунту существует во многих популярных онлайн-сервисах. Она позволяет дополнительно защитить пользователя от взлома: для входа на страницу нужно не только знать связку логин и пароль, но и ввести уникальный код, полученный по SMS. При регистрации во "ВКонтакте" ввод номера телефона обязателен.