Исследовательский центр Positive Research: восстановления пароля – слабое место в системе безопасности популярных онлайн-сервисов

Один из крупнейших в Европе исследовательских центров в области информационной безопасности Positive Research проверил, насколько легко получить доступ к учетным записям пользователей исключительно методами социальной инженерии, без специальных знаний и хакерского инструментария.

Сегодня социальными сетями и интернет-порталами пользуются миллионы людей. При этом регулярно пользователи забывают пароли к своим страницам и почтовым ящикам, и в службы поддержки направляются тысячи писем с просьбой о помощи. Для таких ситуаций интернет-ресурсы предусматривают процедуру восстановления пароля. Именно этот нехитрый процесс при ближайшем рассмотрении может оказаться слабым местом в системе безопасности онлайн-сервисов.

Эксперты исследовательского центра Positive Research, инновационного подразделения компании Positive Technologies, проверили на прочность процедуры восстановления паролей «ВКонтакте», Facebook, Google, Почты Mail.Ruи Яндекс.

В результате нескольких «социальных атак», направленных на сами сервисы (через процедуры восстановления паролей и виртуальное взаимодействие с сотрудниками службы поддержки), специалисты исследовательского центра получили доступ к учетным записям пользователей социальной сети «ВКонтакте» и почтовых сервисов Google и Mail.ru. При этом для взлома аккаунтов «ВКонтакте» и Google экспертам было достаточно использовать только общедоступную информацию о человеке из интернета. В случае с  Mail.Ru доступ к аккаунту удалось получить только после того, как сам пользователь при виртуальном общении сообщил исследователям всю необходимую информацию.

Надежные механизмы защиты данных продемонстрировали Facebookи Яндекс. Причем система защиты, помешавшая специалистам Positive Researchполучить пароль к «Яндекс.Почте», может создать серьезные сложности как злоумышленникам, так и добросовестным, но забывчивым пользователям. Для восстановления пароля в Яндексе потребуется личное присутствие в офисе компании с паспортом. А возможности пользователя Facebook, забывшего пароль, в принципе ограничены. Если доступ к почте потерян, Facebook советует зарегистрироваться заново.

«Решая вопросы безопасности, интернет-сервисам приходится искать «золотую середину». Слишком мягкие правила и лояльность по отношению к пользователям приводят к тому, что аккаунты легко взламываются, а слишком жесткие правила могут оттолкнуть пользователей и создать им лишние неудобства», – комментирует Александр Навалихин, ведущий эксперт исследовательского центра PositiveResearch.

Действия по восстановлению паролей касались реальных аккаунтов пользователей «ВКонтакте», Facebook, Google, Mail.Ruи Яндекса. Владельцев этих учетных записей предварительно проинформировали о целях исследования и получили от них согласие на совершение действий с их аккаунтами. После завершения проекта полученные реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми работали эксперты, получили уведомления о найденных уязвимостях.

Полное исследование вы можете посмотреть здесь

Исследовательский центр PositiveResearchпродолжает анализировать безопасность социальных сетей и других популярных интернет-сервисов. Результаты последующих исследований будут раскрыты на международном форуме по практической безопасности PositiveHackDays 30-31 мая 2012 года в Москве.