Социальная инженерия на примере ВКонтакте
31 Aug 2012 | Автор: dd |
Интернет-копатели нашли очередной интересный нюанс на сайте ВКонтакте, где с полтора года назад открылся новый раздел “Документы“. Причем об этом факте писали еще прошлым летом- осенью, когда в раздел, созданный для шаринга документов между пользователями или же приватного хранения каких то данных (хотя каким долбойо надо быть чтобы хранить приватные данные в русской, да и не только, социалке), наиболее умные представители общественности начали выкладывать различные приватные документы, начиная от сканированных паспортов, причем в хорошем разрешении со всеми нужными страницами, и заканчивая паролями, адресами и явками.
Причем если с паспортами это еще понять можно, то для создания файла с паролями и пин-кодами, для последующей загрузки его в общий доступ, надо иметь полное отсутствие мозга. Тем более что народ уже успел отыскать кучу почтовых аккаунтов, данных по webmoney, доступы с сайтам и банковским аккаунтам. То есть люди выкладывают в открытый доступ все что угодно, даже не задумываясь о том, что их приватные данные могут попасть в открытый доступ. При том, что когда ты закачиваешь документ, тебе предлагается выбрать из четырех пунктов, одним из которых будет личный документ (не доступен через поиск).
И не беда, что по телевизорам, газетам и инетам сотни раз неустанно повторяли о том, что надо быть осторожнее в размещении приватной информации, так как все чекпоинты в FB, адреса и мобильные, статусы про отъезды или планируемые покупки могут быть использованы как интернет, так и офлайн мошенниками, да и банальными домушниками и грабителями тоже. Но люди идут дальше.
Собственно отсутствие мозга и является одной из основных и дорогих уязвимостей, способных поставить под удар любой бизнес и за которую каждый год компании расплачиваются многомиллионными потерями, не смотря на то, что уже давно существуют специальные продукты DLP, позволяющие снизить подобные риски для компаний, путем предотвращения утечек персональных данных через почтари, социалки, флешки и прочее.
Собственно данная ситуация еще раз подтверждает одну прописную истину- какой смысл ломать рандомный аккаунт (если не на заказ), если в инете полно людей практически страждущих поделиться собственными персональными данными. Главное знать где их искать, так что социальная инженерия рулит, причем тут даже не надо что то вызнавать- люди выдают секреты сами.
Правда в данном контексте данный пример социальной инженерии больше смахивает на ловлю обезьян на тыкву с рисом.
Теги: IT безопасность
Автор: на 02 Jul 2014
Я так и не понял, по каким критериям в итоге документы становятся доступными широкой общественности…
[Reply]