Cлабым местом в системе безопасности популярных онлайн-сервисов является восстановление пароля

Александр Панасенко 22 Декабря 2011 - 11:53

...

Сегодня социальными сетями и интернет-порталами пользуются миллионы людей. При этом регулярно пользователи забывают пароли к своим страницам и почтовым ящикам, и в службы поддержки направляются тысячи писем с просьбой о помощи. Для таких ситуаций интернет-ресурсы предусматривают процедуру восстановления пароля. Именно этот нехитрый процесс при ближайшем рассмотрении может оказаться слабым местом в системе безопасности онлайн-сервисов.

Эксперты исследовательского центра Positive Research, подразделения компании Positive Technologies, проверили на прочность процедуры восстановления паролей «ВКонтакте», Facebook, Google, Почты Mail.Ru и Яндекс.

В результате нескольких «социальных атак», направленных на сами сервисы (через процедуры восстановления паролей и виртуальное взаимодействие с сотрудниками службы поддержки), специалисты исследовательского центра получили доступ к учетным записям пользователей социальной сети «ВКонтакте» и почтовых сервисов Google и Mail.ru. При этом для взлома аккаунтов «ВКонтакте» и Google экспертам было достаточно использовать только общедоступную информацию о человеке из интернета. В случае с Mail.Ru доступ к аккаунту удалось получить только после того, как сам пользователь при виртуальном общении сообщил исследователям всю необходимую информацию.

Надежные механизмы защиты данных продемонстрировали Facebook и Яндекс. Причем система защиты, помешавшая специалистам Positive Research получить пароль к «Яндекс.Почте», может создать серьезные сложности как злоумышленникам, так и добросовестным, но забывчивым пользователям. Для восстановления пароля в Яндексе потребуется личное присутствие в офисе компании с паспортом. А возможности пользователя Facebook, забывшего пароль, в принципе ограничены. Если доступ к почте потерян, Facebook советует зарегистрироваться заново.

«Решая вопросы безопасности, интернет-сервисам приходится искать «золотую середину». Слишком мягкие правила и лояльность по отношению к пользователям приводят к тому, что аккаунты легко взламываются, а слишком жесткие правила могут оттолкнуть пользователей и создать им лишние неудобства», – комментирует Александр Навалихин, ведущий эксперт исследовательского центра Positive Research.

Действия по восстановлению паролей касались реальных аккаунтов пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекса. Владельцев этих учетных записей предварительно проинформировали о целях исследования и получили от них согласие на совершение действий с их аккаунтами. После завершения проекта полученные реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми работали эксперты, получили уведомления о найденных уязвимостях.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 24 Октября 2025 - 18:57

Корпорации Защита персональных данных Соответствие требованиям регуляторов

В VK WorkSpace появится суперапп с офлайн-режимом и защитой по ГОСТ

Компания VK Tech представила крупное обновление корпоративной платформы VK WorkSpace. В новой версии появится Суперапп с офлайн-режимом, расширенными функциями безопасности, геораспределённая Почта для федеральных компаний и федерация Мессенджера, которая позволит сотрудникам разных организаций общаться напрямую.

Обновлённый Суперапп VK WorkSpace объединяет основные корпоративные сервисы — Почту, Мессенджер, Календарь, Видеозвонки, Диск, Документы, Оргструктуру и Опросы. Благодаря модульной архитектуре сотрудники видят только нужные инструменты — например, только почту и календарь.

Теперь приложение поддерживает работу офлайн: можно читать и писать письма, создавать встречи и сверяться с календарём даже без интернета. После подключения к сети все изменения синхронизируются автоматически.

Безопасности уделено особое внимание: администраторы могут задать обязательные ПИН-коды, запретить скриншоты и использование рутированных устройств, включить уведомления о VPN, а трафик теперь можно шифровать по российским стандартам ГОСТ TLS. На мобильных устройствах данные хранятся в локальном зашифрованном контейнере.

Одним из главных нововведений стала геораспределённая Почта, рассчитанная на компании с филиалами по всей стране. Она позволяет обрабатывать внутренний трафик в региональных дата-центрах, а внешний — направлять через центральные серверы, сохраняя доступ к общей адресной книге и календарям коллег.

В Мессенджере VK WorkSpace появилась федерация — компании смогут настроить общение между своими контурами. Например, головной офис и дочерние организации смогут переписываться в общих чатах, сохраняя при этом независимость своих ИТ-инфраструктур. Добавлена также интеграция с DLP-системами для защиты корпоративной переписки от утечек.

Количество участников видеоконференции увеличено до 500 человек, а SIP-интеграция позволяет подключать офисные АТС и системы видео-конференц-связи. В Календаре теперь можно бронировать переговорные комнаты и проверять их занятость в реальном времени.

Кроме того, в платформе появится серверная версия Доски VK WorkSpace с функцией массовой миграции проектов из других систем и расширенными инструментами управления правами пользователей.

«Мы усилили стабильность, безопасность и функциональность VK WorkSpace, чтобы компании могли выстроить единое цифровое пространство для коммуникаций и продуктивной работы», — отметил директор по продукту Пётр Щеглов.

Большинство нововведений появится в релизе 25.4, который выйдет в ближайшее время. Платформа будет доступна по подписке — как в облаке, так и в контуре компании, без необходимости закупать дополнительное оборудование или программное обеспечение.