[Цифровая безопасность] Дырявая безопасность

Дисклеймер:
«Вы в Интернете кошелёк с ножками, нет, просто кошелёк, без ножек. И если вам ничего не продали — продадут вас».
Специалист по интернет-безопасности Д. Момот

Все статьи из этого цикла





Мы с вами уже разобрали, что пароль надо ставить посложнее и что будет, если его сделать простым. Вкратце разобрали, как мы сами сдаём свои данные. Теперь рассмотрим цифровую безопасность с немного другой стороны. Слабым местом в нашей безопасности является не только простой пароль, но и непосредственно имя учётной записи на сайтах, форумах, интернет-магазинах. Сегодня мы разберём, почему это так и как минимизировать риски.

Чаще всего для получения доступа к чужим учетным записям используется метод ». Его суть заключается в переборе паролей от аккаунта. Но вот только никто не занимается именно полным перебором всех паролей и логинов! В специальную программу вносится словарь, в котором записаны самые популярные пароли (как вы помните, их не так много), логин самой учетной записи, и популярные цитаты, актуальные крылатые выражения. И точно так же не случайно вносятся в словарь логины от аккаунтов. В списки для перебора попадают учётные записи, которые уже были где-либо засвечены. Именно поэтому не рекомендуется использовать в качестве имени аккаунта на недоверенных ресурсах свой номер телефона и электронную почту, которой вы активно пользуетесь в личных целях. И, тем более, не нужно вводить тот e-mail, который вы используете в платежных и банковских системах.

Если вы не следуете этим правилам, у взломщика в словаре будут активные логины и возможные пароли. Далее происходит сам брутфорс. Ничего сложного в процедуре нет. Теоретически, сайты должны отслеживать многократные неудачные попытки ввода пароля и пресекать новые попытки, временно «замораживая» аккаунт.

ВКонтакте

На самом деле, так происходит далеко не всегда. Подобной защиты нет даже в крупных интернет-магазинах! Данные бонусных карт, логины и пароли от личных кабинетов продаются открыто. Пример — магазины Х5 Retail Group («Пятерочка», «Верный», «Карусель», «Перекресток»).

Продажа данных пользователей

Другие ритейлеры ничуть не отстают. Те же проблемы есть у следующих магазинов и сайтов:
  • Глобус;
  • авиа- и ж/д-билетов;
  • Остин;
  • 4лапы;
  • Дочки-сыночки;
  • Кораблик;
  • delivery-club;
  • Литрес;
  • Буквоед;
  • СпортМастер;
  • …этот список не полон.

Буквоед

Буквоед

СпортМастер

Дочки-сыночки
Проблем найти эти данные нет, они открыты. Обратите внимание на пароли. Знакомо, не правда ли?

Раздача учётных записей

На всех представленных сайтах используются не деньги, а баллы. Их потерять не особо и обидно. Однако у всех представленных выше магазинов для списания баллов не используются никакие способы подтверждения. Но есть магазины и с работающей системой безопасности. Один из примеров — «Сеть Связной» («Евросеть», «Связной»). Чтобы списать бонусы, клиенту необходимо назвать код из SMS. Номер поменять в личном кабинете самому не получится (важный момент!), это можно сделать только звонком в поддержку с предоставлением паспортных данных.

Бывает и хуже, чем у магазинов из списка выше. Намного хуже. Пример тому — интернет-магазин «Озон». По дырам в безопасности он впереди многих! Здесь, извините, скриншотов не будет.

Как вы уже убедились, логин и пароль достать вполне возможно. Любой, кто попал в ваш аккаунт, может без проблем и дополнительных подтверждений изменить ФИО, почту, телефон и даже пароль! Ещё раз, внимательно прочитайте, без дополнительных подтверждений! Никаких кодов из SMS или хотя бы e-mail. У «Озона» есть отличная возможность пополнить счёт бонусными картами и наличными. Одно «но»: чтобы списать деньги, снова нет никакого подтверждения! Никакого! Феерия дальше: «Озон» заботливо позволяет выбрать получателем товара любое другое лицо и указать его телефон. Для получения заказа ничего особого не требуется.

И основная проблема не в краже бонусов, или даже денег, а в другом. В этих аккаунтах есть кое-что намного более ценное. Это ваши личные данные. И тут у вас, дорогой читатель, должен произойти флешбэк к предыдущей статье цикла. Неизвестно, в какие руки мы сами снова сливаем свою почту, свой телефон, адрес, имена родственников. Почему сами? Да потому, что в желании получить 50-100-200 бонусов или скидку (привет, «Озон», «Дочки-Сыночки» и другие) мы рассказываем о себе слишком многое.

Дочки-сыночки

Итог
Как же теперь быть? Всё просто! Не давать для всяких промо-бонусно-конкурсных сайтов свои данные. При регистрации у вас не спрашивают паспорт! Пофантазируйте. Хотя бы в графе ФИО укажите просто «Гость».

Шлите всех, кто просит ваши данные, если они вам дороги!

Думаете, что всё так плохо? Мы предупреждали: кто боится, не читайте дальше. Всё еще интереснее… Многие крупные компании выкладывают на публичных хранилищах «чувствительные» и персональные данные. Об этом в следующий раз, а на сегодня всё!​
Мнение автора может не совпадать с мнением редакции.
 
  • Спасибо
Благодарности: atom, artem1701, Lord_X и 13 других
Вернуться к: Авторское
Спасибо за такие статьи, странно что ничего подобного не было на других ресурсах
 
  • Спасибо
Благодарности: Agent K и DDDTK