Новая уязвимость ВКонтакте позволяет проводить деанонимизацию пользователей на сторонних сайтах

Исследователи обнаружили новую схему слежения за пользователями, от которой ужаснулись даже видавшие виды специалисты по компьютерной безопасности.

Со стороны функционирование схемы выглядит так: пользователь посещает чужой сайт. Не регистрируется. Просто просматривает несколько страниц и уходит. Всё, этого достаточно, чтобы владелец сайта мог получить следующие данные о посетителе:

• имя;
• фамилия;
• интересы;
• фото;
• ссылки на страницы в соцсетях;
• и другие параметры.

Как это происходит. Владелец сайта устанавливает скрытый фрэйм. В нем устанавливается официальный виджет для авторизации Вконтакте. Поскольку разработчиков этой соцсети всегда слабо интересовала сохранность приватной пользовательской информации, виджет позволяет проводить авторизацию нажатием одной кнопки, без ввода пароля и всяких подтверждений. Владелец сайта использует эту любопытную особенность, программно привязывая с помощью сценария на JavaScript щелчок мыши к нажатию на эту кнопку авторизации. Пользователь заходит на сайт, где его вынуждают совершить клик мышью — например, это может быть просто переход по внутренней ссылке. Происходит авторизация и владелец сайта получаем следующие данные (согласно официальной документации от разработчиков Вконтакте):

• uid;
• first_name;
• last_name;
• photo;
• photo_rec;
• hash.

Другими словами, используется известная техника под названием кликджекинг в комбинации с уязвимостью во Вконтакте. Специалистами по компьютерной безопасности эта техника однозначно классифицируется как вредоносная, с высоким уровнем потенциальной опасности.

Как защититься. Во-первых, самый лучший способ — вообще не выкладывать о себе информацию в интернет. Не доверяйте свои персональные данные никому, тем более соцсетям.

Во-вторых, поскольку привязка клика мышью к нажатию посторонней кнопки виджета выполняется с помощью встроенного в браузер языка JavaScript, то может помочь установка расширений, блокирующих выполнение JavaScript. Например, расширение NoScript. Можно также отключить выполнение браузерных сценариев вручную. Однако, этот метод подойдет не каждому, так как большинство современных сайтов функционирует некорректно с отключенным в браузере JavaScript.

В-третьих, существуют специализированные расширения, выявляющие и блокирующие все попытки отследить пользователя. Одним из лучших является расширение Ghostery (для Chrome и Firefox).

Используется ли этот метод деанонимизации на практике? Да. Есть неофициальные данные, указывающие на попытки сбора базы данных соответствий ников на сторонних сайтах с реальными именами и фамилиями. Но есть и более конкретные данные, говорящие о том, что уязвимость Вконтакте используется в бизнес-целях для сбора информации о посетителях. Например, один из подобных сервисов предлагает следующие услуги:

• Предоставление данных о посетителях ваших сайтов без их ведома (ID ВК, ФИО, телефон, интересы, профили в соц. сетях и еще 32 параметра).
• Сканирование групп конкурентов и выуживание готовых к покупке посетителей.
• Распространение информации по целевой аудитории. Инструмент рассылки SMS, личных сообщений ВК.
• Возможность покупки тематической аудитории по группам интересов, географии, ключевым запросам.
• Предоставление обратных контактов: соц. сети, телефоны, email, skype и тд.

Стоит ли предпринимать действия по защите, ведь программисты Вконтакта оперативно исправляют уязвимости? Да, стоит! В технической поддержке ВКонтакта объявили, что не признают это уязвимостью и никаких дополнительных действий предпринимать не будут.

Select rating 1 2 3 4 5

Ваша оценка: Нет Средняя оценка: 3.8 (5 votes)