• Хочешь попробовать себя в роли автора статей? Тогда мы тебя ждём!

[Цифровая безопасность] Дырявая безопасность

Дисклеймер:
«Вы в Интернете кошелёк с ножками, нет, просто кошелёк, без ножек. И если вам ничего не продали — продадут вас».
Специалист по интернет-безопасности Д. Момот

Мы с вами уже разобрали, что пароль надо ставить посложнее и что будет, если его сделать простым. Вкратце разобрали, как мы сами сдаём свои данные. Теперь рассмотрим цифровую безопасность с немного другой стороны. Слабым местом в нашей безопасности является не только простой пароль, но и непосредственно имя учётной записи на сайтах, форумах, интернет-магазинах. Сегодня мы разберём, почему это так и как минимизировать риски.

Чаще всего для получения доступа к чужим учетным записям используется метод ». Его суть заключается в переборе паролей от аккаунта. Но вот только никто не занимается именно полным перебором всех паролей и логинов! В специальную программу вносится словарь, в котором записаны самые популярные пароли (как вы помните, их не так много), логин самой учетной записи, и популярные цитаты, актуальные крылатые выражения. И точно так же не случайно вносятся в словарь логины от аккаунтов. В списки для перебора попадают учётные записи, которые уже были где-либо засвечены. Именно поэтому не рекомендуется использовать в качестве имени аккаунта на недоверенных ресурсах свой номер телефона и электронную почту, которой вы активно пользуетесь в личных целях. И, тем более, не нужно вводить тот e-mail, который вы используете в платежных и банковских системах.

Если вы не следуете этим правилам, у взломщика в словаре будут активные логины и возможные пароли. Далее происходит сам брутфорс. Ничего сложного в процедуре нет. Теоретически, сайты должны отслеживать многократные неудачные попытки ввода пароля и пресекать новые попытки, временно «замораживая» аккаунт.

16546

На самом деле, так происходит далеко не всегда. Подобной защиты нет даже в крупных интернет-магазинах! Данные бонусных карт, логины и пароли от личных кабинетов продаются открыто. Пример — магазины Х5 Retail Group («Пятерочка», «Верный», «Карусель», «Перекресток»).

16547

Другие ритейлеры ничуть не отстают. Те же проблемы есть у следующих магазинов и сайтов:
  • Глобус;
  • авиа- и ж/д-билетов;
  • Остин;
  • 4лапы;
  • Дочки-сыночки;
  • Кораблик;
  • delivery-club;
  • Литрес;
  • Буквоед;
  • СпортМастер;
  • …этот список не полон.

16548

16549

16550

16551
Проблем найти эти данные нет, они открыты. Обратите внимание на пароли. Знакомо, не правда ли?

16552

На всех представленных сайтах используются не деньги, а баллы. Их потерять не особо и обидно. Однако у всех представленных выше магазинов для списания баллов не используются никакие способы подтверждения.
Но есть магазины и с работающей системой безопасности. Один из примеров — «Сеть Связной» («Евросеть», «Связной»). Чтобы списать бонусы, клиенту необходимо назвать код из SMS. Номер поменять в личном кабинете самому не получится (важный момент!), это можно сделать только звонком в поддержку с предоставлением паспортных данных.
Бывает и хуже, чем у магазинов из списка выше. Намного хуже. Пример тому — интернет-магазин «Озон». По дырам в безопасности он впереди многих! Здесь, извините, скриншотов не будет.
Как вы уже убедились, логин и пароль достать вполне возможно. Любой, кто попал в ваш аккаунт, может без проблем и дополнительных подтверждений изменить ФИО, почту, телефон и даже пароль! Ещё раз, внимательно прочитайте, без дополнительных подтверждений! Никаких кодов из SMS или хотя бы e-mail. У «Озона» есть отличная возможность пополнить счёт бонусными картами и наличными. Одно «но»: чтобы списать деньги, снова нет никакого подтверждения! Никакого! Феерия дальше: «Озон» заботливо позволяет выбрать получателем товара любое другое лицо и указать его телефон. Для получения заказа ничего особого не требуется.
И основная проблема не в краже бонусов, или даже денег, а в другом. В этих аккаунтах есть кое-что намного более ценное. Это ваши личные данные. И тут у вас, дорогой читатель, должен произойти флешбэк к предыдущей статье цикла. Неизвестно, в какие руки мы сами снова сливаем свою почту, свой телефон, адрес, имена родственников. Почему сами? Да потому, что в желании получить 50-100-200 бонусов или скидку (привет, «Озон», «Дочки-Сыночки» и другие) мы рассказываем о себе слишком многое.

16553

Итог
Как же теперь быть? Всё просто! Не давать для всяких промо-бонусно-конкурсных сайтов свои данные. При регистрации у вас не спрашивают паспорт! Пофантазируйте. Хотя бы в графе ФИО укажите просто «Гость».

Шлите всех, кто просит ваши данные, если они вам дороги!

Думаете, что всё так плохо? Мы предупреждали: кто боится, не читайте дальше. Всё еще интереснее… Многие крупные компании выкладывают на публичных хранилищах «чувствительные» и персональные данные. Об этом в следующий раз, а на сегодня всё!

Мнение автора может не совпадать с мнением редакции.
 
DDDTK

Комментарии

Спасибо за такие статьи, странно что ничего подобного не было на других ресурсах
 
Верх Низ