メールのパスワードを忘れた場合、私たちは一生のうちに少なくとも一度は遭遇しますが、手紙を見る必要があります。 ここで、パスワード回復手順は私たちの助けになります。ケアリングサービスはそのような場合のために特別に開発しました。 この手順は安全性の観点から最も疑問を投げかけます。 結局のところ、無駄ではありませんでした。
私たちの研究センターであるPositive Researchは、VKontakte、Facebook、Google、Mail.Ru、Yandexのユーザーアカウントへの不正アクセスをいかに簡単に行えるかを調査しました。 そして、技術的な攻撃ではなく、ソーシャルエンジニアリングを通じてのみです。
ウィキペディアは、技術的手段を使用せずに人々を管理する方法としてソーシャルエンジニアリングを説明しています。 私たちの場合、これは特別な知識やツールを使用せずに、個人の個人情報への不正アクセスを取得する方法です。
もちろん、いつでもフィッシングメールを送信して、ユーザーにユーザー名とパスワードを強調表示するサイトに移動させるか、トロイの木馬を投げて待つことができます。 多くの方法があります。 しかし、私たちは何か他のものに興味がありました。 インターネットで公開されている公開情報のみを使用してユーザーアカウントにアクセスすることがいかに現実的かを確認したかったのです。 ユーザー操作なし。 技術的な飾りはありません。 ゼロデイ脆弱性はありません。
未来に戻る。 Vkontakte、Google、Mail.Ru
これらすべてのサービスのアカウントにアクセスできました。
VkontakteとGoogleの場合、ユーザーに関する特定の情報(連絡先、写真、セキュリティ保護用の質問)があれば、簡単に彼のアカウントにアクセスできます。
Vkontakteは、ユーザーのセキュリティを確保することに非常に多くの注意を払い、独自のパスワード回復方法を考え出しました。 ID文書のスキャンを事前に読み込んで、パスワード回復手順ページの背景に写真を撮ることもできます。 すべては問題ありませんが、Vkontakteは検証に最も弱いリンク、つまり個人を使用します。 彼らはそれを支払いました-パスワード回復フォームと連絡先の詳細とサポートサービスとの通信での一連の操作の結果、ユーザーのページへのアクセスは1日以内に得られました。
Googleもほぼ同じ状況です。 パスワードの回復は非常に簡単です。 また、Gmail.comアカウントにアクセスした後、YouTubeからPicasaまで、ユーザーが使用するすべてのサービスを自由に使用できます。 たとえば、アカウントの所有者が引き続きGoogleサービスを使用しているときにパスワード回復手順が開始されました。彼は、GoogleTalkを通じて話し、Androidマーケットからファイルをダウンロードしました。 Googleからの警告なしに、サービスは突然停止しました。 さらに、携帯電話に関連付けられた2要素認証でさえ、このような攻撃を止めることはできませんでした。
Mail.Ruでは、状況はより複雑です。 このサービスはユーザーにとっても使いやすく、多くの点でユーザーに向かっています。 一方では、これは喜ばしいことですが、他方では、ハッカーに素晴らしい機会を提供します。 公開されている情報が十分ではありませんでした。 ただし、被害者と直接仮想通信を行い、必要なすべてのデータを親切に提供していただいた後、アカウントへのアクセスは問題なく取得されました。
未来へ。 フェイスブック
Facebookのソーシャルネットワークは最もバランスのとれたアプローチを示しており、ユーザーの利便性と安全性に対する懸念を組み合わせています。 保護スキームは非常に標準的ではありません-電子メールへのバインド、電話へのバインド、ページへのアクセスを復元するために友人を使用する機能。 さらに、友人は1日間または2日間ではないことがわかっている人でなければなりません。2週間のアクティビティを行っても、ユーザーの信頼できる代理人のリストに登録できませんでした。 同じケースで、メールや秘密の質問にアクセスできなくなった場合、Facebookは何もできないと報告します。 そして、再度登録することをお勧めします。
それとは別に、Yandexを強調したいと思います。 これは、ナットを締めない方法の良い例です。 パスワード回復手順の要件が厳しすぎるため、ユーザーアカウントにアクセスできませんでした。 たとえば、Yandex.Moneyメールボックスを削除しました。 電話を縛っていません。 秘密のパスワードは記憶されていません。 サポートにはパスポートが必要です。 すべてなくなりました。 そして、Yandex.Money、およびYandex.Mail。
したがって、どのような結論を導き出すことができますか:
•パスワード回復機能-大量オンラインサービスのユーザー保護システムの弱点。
•ユーザーにとってのサービスの利便性とそのセキュリティの間のバランスを維持する必要性は、インターネットリソースにとって重要です。
•ユーザーはセキュリティルールと自分のデータについて軽薄であるため、攻撃者に無意識のうちに支援を提供します。
このように:
| VKontakte | アクセスしました | データへのアクセスは簡単で忠実な技術サポートです |
| グーグル | アクセスしました | データへのアクセスは簡単で忠実な技術サポートです |
| Mail.Ru | アクセスしました | データにアクセスできますが、ユーザーと通信した後にのみ |
| フェイスブック | アクセスが受信されていません | データにアクセスできません。Facebookは素晴らしいです! |
| ヤンデックス | アクセスが受信されていません | データにはアクセスできませんが、パスワード回復手順の非常に厳しい要件 |
パスワード回復アクションは、VKontakte、Facebook、Google、Mail.Ru、Yandexの実際のユーザーアカウントに関するものでした。 これらのアカウントの所有者に調査の目的を通知し、アカウントでアクションを実行することに同意しました。 プロジェクトの完了後、アクセスの詳細が所有者に返され、このデータを使用した追加のアクションは実行されませんでした。 私たちが協力したすべてのインターネットリソースは、見つかった脆弱性に関する通知を受け取り、検出された欠点を排除するための対策を講じました。
私たちの研究はこれで終わりではありません-Positive Technologiesは、ソーシャルネットワークやその他の一般的なインターネットサービスのセキュリティを分析し続けています。 2012年5月30〜31日にモスクワで開催される、実用的な安全性に関するポジティブハックデイズ国際フォーラムで新しい研究の結果を発表します。
ブログのニュース!