Полезная инфа

 berezneva: social.phobia:

кстати.
на всякий случай, если кто не знает, за последние пару недель предприимчивые предположительно русские хакеры выложили украденные базы юзеров-паролей от множества популярных сервисов, среди которых LinkedIn, VK, MySpace, BitTorrent, Tumblr, Twitter. базы в основном четырехлетней давности, но это не столь важно. проблема основная заключается не только и не столько в украденном акке - сменить пароль дело одной минуты - а в том, что очень многие используют одинаковые или во многом сходные пароли для разных сервисов. поучительная короткая история: найдя пароль цукерберга в LinkedIn, товарищи разбили его на куски и методом перебора вскрыли его твиттер.
в общем, рекомендую зайти на какой-нибудь сайт-аккумулятор взломанных данных (например, haveibeenpwned.com/) и проверить свою почту. если где-то засветилось, имеет смысл сменить пароль не только на засвеченном, но и везде, где используется похожая. особенно если эта похожая используется для почты, потому что взломанный почтовый аккаунт - предмет мокрых снов любого охотника за персональными данными.
а мораль сей басни - парольные менеджеры. парольные менеджеры - просто, удобно, повышает безопасность. я у мамы генератор глупых рекламных лозунгов.
URL записиURL записи

+еще похожая тема
Российские исследователи из компании Positive Technologies продемонстрировали возможность взлома аккаунтов Facebook и WhatsApp, зная лишь номер мобильного телефона, который привязан к аккаунту. Об этом «Газете.Ru» сообщил представитель компании.

Используя уязвимость в протоколе системы Signalling System No.7 (SS7), исследователям удалось получить доступ к личным аккаунтам пользователей. Система перенаправляет SMS-сообщения для восстановления пароля на номер исследователя вместо владельца аккаунта. С помощью полученного кода можно задать свой собственный пароль к аккаунту Facebook.

Кроме этого, исследователи утверждают что найденная ими уязвимость применима для любых других соцсетей, которые отправляют сообщения для восстановления пароля. Среди них «ВКонтакте», Telegram, Twitter и мн. др. По этой причине компания настоятельно рекомендует пользователям осторожнее привязывать мобильный телефон к сервисам.

--

Исследователи из российской компании Positive Technologies провели успешный эксперимент по взлому аккаунтов в Facebook и WhatsApp, зная лишь номер мобильного телефона, привязанного к аккаунту.

Для этого они воспользовались уязвимостью в протоколе Signalling System No. 7 (SS7). Она позволила перенаправить SMS-сообщение для восстановления пароля с номера, прикрепленного к аккаунту, на номер исследователей. Воспользовавшись полученным кодом, они смогли сбросить пароль к аккаунту Facebook, задав свой собственный.

Исследователи подчеркнули, что использованный ими метод может использоваться для взлома аккаунтов практически в любом сервисе — везде, где сброс пароля возможен посредством SMS-сообщения. К таким сервисам, в том числе, относятся Telegram и Twitter.

Добавим, что в мае 2016 г. хакеры уже демонстрировали возможность взлома учетных записей в WhatsApp и Telegram посредством уязвимости в протоколе SS7.

SS7 — разработанный в 1975 г. один из ключевых элементов мировой инфраструктуры мобильной связи. С помощью SS7 осуществляется маршрутизация телефонных вызовов между различными центрами коммутации и различными операторами. SS7 также используется для роуминга. Например, когда абонент уезжает в другую страну, операторы в этой стране посредством протокола SS7 обмениваются данными с домашним оператором абонента для того, чтобы определить, кто его обслуживает.

«Проблема заключается в том, что в SS7 неважен источник сообщения. Все сообщения, полученные по этому протоколу, считаются безопасными по умолчанию», — поясняет Forbes.

Многие сервисы используют SMS для того, чтобы дополнительно обезопасить пользователей. Но на самом деле они не укрепляют безопасность. Дополнительные функции создаются на основе уязвимой инфраструктуры. Таким образом, сервисы просто указывают хакерам на дверь, через которую они могут войти, говорится в докладе Positive Technologies.

Уязвимости в SS7 оказались полезны не только для хакеров, но и коммерческих организаций. С их помощью Израильская компания Ability готова обеспечить заказчика возможностью отслеживания любого мобильного телефона в мире.

Под отслеживанием подразумевается не только определение местонахождения абонента, но также прослушивание его разговоров и перехват SMS-сообщений. Для всего этого решению Ability, стоимость которого достигает $20 млн, необходим лишь номер мобильного телефона или международный идентификатор мобильного абонента IMSI (International Mobile Subscriber Identity).

Между тем, ряд операторов, включая Vodafone и Telefonica, стремятся закрыть уязвимости в протоколе. По словам эксперта по безопасности Карстена Ноля (Karsten Nohl), мнение которого приводит журнал Forbes, в 90% случаях для защиты достаточно установить фаервол со специальными правилами. Пользователям, в свою очередь, рекомендуется не публиковать лишний раз номер своего мобильника на любых ресурсах в интернете. Наконец, в компании Facebook рассказали, что пользователи могут выключить восстановление пароля через SMS-сообщение. Для этого им надо активировать в настройках безопасности двухфакторную аутентификацию.

Подробнее: internet.cnews.ru/news/top/2016-06-16_akkaunt_v...
URL записиURL записиURL записи