Cлабым местом в системе безопасности популярных онлайн-сервисов является восстановление пароля

Александр Панасенко 22 Декабря 2011 - 11:53

...

Сегодня социальными сетями и интернет-порталами пользуются миллионы людей. При этом регулярно пользователи забывают пароли к своим страницам и почтовым ящикам, и в службы поддержки направляются тысячи писем с просьбой о помощи. Для таких ситуаций интернет-ресурсы предусматривают процедуру восстановления пароля. Именно этот нехитрый процесс при ближайшем рассмотрении может оказаться слабым местом в системе безопасности онлайн-сервисов.

Эксперты исследовательского центра Positive Research, подразделения компании Positive Technologies, проверили на прочность процедуры восстановления паролей «ВКонтакте», Facebook, Google, Почты Mail.Ru и Яндекс.

В результате нескольких «социальных атак», направленных на сами сервисы (через процедуры восстановления паролей и виртуальное взаимодействие с сотрудниками службы поддержки), специалисты исследовательского центра получили доступ к учетным записям пользователей социальной сети «ВКонтакте» и почтовых сервисов Google и Mail.ru. При этом для взлома аккаунтов «ВКонтакте» и Google экспертам было достаточно использовать только общедоступную информацию о человеке из интернета. В случае с Mail.Ru доступ к аккаунту удалось получить только после того, как сам пользователь при виртуальном общении сообщил исследователям всю необходимую информацию.

Надежные механизмы защиты данных продемонстрировали Facebook и Яндекс. Причем система защиты, помешавшая специалистам Positive Research получить пароль к «Яндекс.Почте», может создать серьезные сложности как злоумышленникам, так и добросовестным, но забывчивым пользователям. Для восстановления пароля в Яндексе потребуется личное присутствие в офисе компании с паспортом. А возможности пользователя Facebook, забывшего пароль, в принципе ограничены. Если доступ к почте потерян, Facebook советует зарегистрироваться заново.

«Решая вопросы безопасности, интернет-сервисам приходится искать «золотую середину». Слишком мягкие правила и лояльность по отношению к пользователям приводят к тому, что аккаунты легко взламываются, а слишком жесткие правила могут оттолкнуть пользователей и создать им лишние неудобства», – комментирует Александр Навалихин, ведущий эксперт исследовательского центра Positive Research.

Действия по восстановлению паролей касались реальных аккаунтов пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекса. Владельцев этих учетных записей предварительно проинформировали о целях исследования и получили от них согласие на совершение действий с их аккаунтами. После завершения проекта полученные реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми работали эксперты, получили уведомления о найденных уязвимостях.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 22 Января 2026 - 19:02

Корпорации Security Vision

Платформа Security Vision 5 получила более 300 улучшений за год

Компания Security Vision подвела итоги развития платформы Security Vision 5 (SV5) за 2025 год. За это время вышло 12 обновлений, в которые вошло более 300 доработок. Основной фокус разработчиков был на практичных вещах: управляемой автоматизации, расширении интеграций, удобстве эксплуатации и работе платформы в реальных корпоративных инфраструктурах.

В течение года развитие SV5 шло сразу по нескольким направлениям. Одним из ключевых стала автоматизация: в платформе появилось больше управляемых рабочих процессов и сценариев, позволяющих сократить ручную рутину.

В том числе были доработаны механизмы синхронного запуска сценариев, возврата результатов выполнения и появилась библиотека параметров. Это сделало автоматизацию более гибкой и предсказуемой, а сами сценарии — менее требовательными к производительности.

Параллельно расширялись интеграции и источники данных. В 2025 году платформа получила новые коннекторы, дополнительные источники телеметрии и более гибкие настройки сетевых параметров. Всё это позволяет собирать более полный контекст для анализа и расследований и уменьшает количество «костылей» в интеграционных цепочках.

Отдельное внимание уделялось безопасности и управляемости. В течение года были усилены механизмы контроля доступа и аудита: добавились новые события аудита, расширились настройки журналирования, а также появились дополнительные ограничения для API-доступа.

Заметные изменения коснулись и пользовательского интерфейса. В SV5 доработали дашборды и виджеты, добавили удобную фильтрацию по временным интервалам и развили визуализацию на карте. Обновления карточек объектов и редакторов сделали повседневную работу аналитиков и администраторов более быстрой и понятной.

Наконец, в части развертывания и эксплуатации разработчики упростили сценарии установки и сопровождения платформы, в том числе за счёт улучшенного логирования. Это снижает трудозатраты на внедрение и помогает быстрее разбираться с проблемами в процессе эксплуатации.

В Security Vision отмечают, что все обновления 2025 года были нацелены на практический эффект для команд заказчиков. SOC-аналитики получили более удобные инструменты для работы с контекстом событий, специалисты по расследованиям — меньше ручных операций за счёт автоматизации, а администраторы — более прозрачные сценарии установки, сопровождения и контроля доступа.

По итогам года платформа SV5 стала более управляемой и предсказуемой в повседневной работе — без радикальных изменений, но с большим количеством точечных улучшений, которые ощущаются в реальной эксплуатации.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »