6 мая появились сообщения о продаже логинов и паролей 100 миллионов пользователей «ВКонтакте». При этом авторы портала LeakedSource, на котором была размещена информация об утечке, заявили, что соцсеть не использует алгоритмы хеширования и шифрования паролей, то есть данные пользователей не защищены должным образом. Чуть позже представитель «ВКонтакте» отверг все обвинения, уточнив, что сама база и вовсе относится к 2012 году. theRunet решил узнать, какие ещё уязвимости присутствуют в соцсети и как компания работает с багами.
2012 все еще опасен
По мнению Евгения Красникова, сервис LeakedSource нагло врёт и, видимо, использует эту историю для самопиара в расчёте на то, что её подхватят журналисты, которые не станут докапываться до сути вопроса.
«У «ВКонтакте» есть специальная система хранения для паролей с хешами и шифрованием, которая позволяет нам обеспечивать максимальную безопасность данных для входа пользователей на страницы»
Тем не менее, Михаль Салат (Avast) считает, что даже данные из старой базы все равно могут нанести ущерб пользователям. На данный момент взломанные аккаунты продаются на черном рынке за 1 биткоин и все еще могут быть использованы в корыстных целях.
Например, если пользователь «ВКонтакте» не менял свой пароль, а также использует одинаковые комбинации для соцсети и для почты, то хакеры получают доступ ко всем письмам и к запросам на смену паролей — благодаря чему могут поменять пароли практически на любом сервисе.
«Исследование Avast, проведенное в октябре 2015 года, показало, что 62% россиян, которые подвергались хакерским атакам, не поменяли пароль на взломанном сайте, и только 12% поменяли его на тех порталах, где использовали такой же пароль. <p>Это же исследование выявило, что 12% россиян никогда не меняли пароли, 36% делают это редко, и только 12% меняют пароли каждые 3 месяца. Сейчас, например, 12% россиян из нашего исследования, которые никогда не меняли свои пароли в «ВКонтакте» в 2011–2013 годах, подвержены риску взлома со стороны хакеров.</p><p>
Мы настоятельно рекомендуем всем пользователям «ВКонтакте» немедленно изменить свои пароли, и не только на «ВКонтакте», но и на других сервисах, где они использовали аналогичные комбинации. Социальные медиа содержат огромное количество персональной информации, поэтому, даже если вы используете пароль «ВКонтакте» только на этом сайте, хакеры могут собрать достаточно информации из вашего профиля и сообщений и скомпрометировать вас. Мы также рекомендуем использовать менеджер паролей для защиты своих онлайн аккаунтов сильными паролями, которыми легко управлять»</p>
Кредит по паспорту
Впрочем, многим пользователям стоит опасаться не только увода логина и пароля. По документам «ВКонтакте» до сих пор можно найти множество сканов страниц паспорта, дипломов, проектных деклараций, бизнес-планов и многих других приватных документов, относящихся к коммерческой тайне или персональным данным.
«Что касается поиска по документам, действительно, каждый файл, который загружается пользователями ВК, по умолчанию недоступен в поиске. Так было всегда. Это принципиальный момент, потому что безопасность наших пользователей и их данных всегда ставится во главу угла. <p>При этом если пользователь хочет изменить приватность загруженных документов, он может выбрать нужный уровень доступа. Начинающие писатели, например, могут сделать свои книги доступными всем, чтобы познакомить со своим творчеством сотни миллионов пользователей «ВКонтакте»</p>
Однако это не совсем так — изначально сервис «Документы» в соцсети был публичным, но его быстро начали использовать его для передачи личных документов.
По мнению Антона Лопаницына, ONSEC, проблема здесь в том, что от человеческой глупости нет патча.
«ВКонтакте» подстраивается под людей. Когда объявили функциональность документов — говорили о том, что они публичные. Но люди стали заливать туда персональные данные. Тогда добавили галочку, мол, личный документ, но люди заливали документы и не ставили галочку»
Впрочем, не только во «ВКонтакте» пользователи ведут себя непредусмотрительно. В Twitter есть аккаунт, который собирает со всей сети фотографии кредитных карт, которые пользователи выкладывают в открытый доступ. С помощью этих данных в некоторых онлайн-магазинах можно оплатить товары и услуги.
Уязвимость по DNS Spoofing
Артем Дизычев считает, что проблема с документами — не самый опасный баг Вконтакте. Дело в том, что уотсутствие принудительного https (hsts протокола) позволяет получить данные пользователей.
«В каком бы виде не хранились пароли, их можно отловить очень просто через DNS Spoofing. Например, есть у нас жертва, которая пользуется https протоколом связи с ВК. А нам нужно получить ее логин/пароль. Поначалу это кажется трудным, но если мы начнем копать дальше, понимаем, что ВК не поддерживает протокол HSTS, который помог бы в этом деле. <p>Собственно, hsts принудительно заставляет пользоваться https протоколом. А значит, если пользователь получает страницу, которая не является подлинной, ВК никак не противится этому, а спокойно разрешает получать данные по http. Даже авторизация проходит, минуя https. Собственно, если грамотно реализовать систему работы с всем этим добром — можно получать логины/пароли особо не напрягаясь»</p>
Как «ВКонтакте» работает с багхантерами
Как правило, за обнаружение багов ВК давали вознаграждение в виде голосов (внутренняя валюта «ВКонтакте», которую можно перевести в рубли). Год назад у социальной сети появилась полноценная программа Bug Bounty.
Ее функционал ограничен поиском технических уязвимостей в сервисах компании и в ее официальных мобильных приложениях (Android, iPhone/iPad, WinPhone).
В качестве уязвимостей не принимаются: сообщения от сканеров безопасности и других автоматических систем, сообщения об уязвимости, основанные на версиях ПО/протокола, без указания реального применения, сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например отсутствие CSRF токена) без указания на реально существующие негативные последствия, framing, clickjacking, Logout CSRF, социальная инженерия, сообщения об Open Redirect (/away.php), selfxss.
В отчете нужно указать тип уявзимости, как её можно эксплуатировать, повторить и исправить.
Минимальная выплата составляет $100 и может быть получена только в том случае, если уявимость не использовалась ранее против пользователей «ВКонтакте».
Антон Лопаницын говорит, что раньше за баги не платили, потому что руководство не хотело отдавать деньги и не понимало, зачем их тратить, когда есть разработчики, которые должны тщательно смотреть свой код.
В 2015 году ввели Bug Bounty (система поощрений для внешних программистов, которые находят уязвимость и сообщают о ней) и наняли специалиста по информационной безопасности.
«Он что успевал, то и закрывал. Опять же, когда я находил критичные уязвимости — их закрывали в первую очередь ($2k-$2,5k). Менее критичные — долго ($100–500). До сих пор висит незакрытое. Почему? Потому что ресурсы. Их нехватка. Инцидентов нет, зачем нанимать большое количество людей. Хотя, вот месяц назад на площадке hackerone появились еще два, видимо наняли»
«ВКонтакте» иногда не платит за баги, но связано это с тем, что элементарно не хватает рук добраться до каждого репорта. Люди, которые требуют денег после публикации бага, в лучшем случае вызывают недоумение.
«Мое мнение. Хочешь денег — сообщай куда следует (в hackerone). Открыл информацию в публичный доступ — иди нафиг. Просто «хакеры» стали очень алчные в последнее время, потому что приходит новое поколение. Низкий порог вхождения, малые знания. Вот вам бага, давайте денег. <p>А необходимо исправить уязвимость в коде (а это бывает непросто), оттестировать заплатку (чтоб ничего не падало), заменить текущий код (вот представьте сколько серверов у «ВКонтакте» и туда надо поместить новые исходники)
В общем, я Bug Bounty доволен, потому что понимаю, что это не от лени, а скорее всего от нехватки ресурсов. Ну и недовольство багхантеров понимаю»</p>
Камиль Хисматуллин, автор решения уязвимости по закрытию приватных картинок, также доволен работой Bug Bounty.
«Опыт работы с новой Bug Bounty программой ВК очень положительный. Радует, что с ребятами можно переписываться на русском, да и размер вознаграждений почти сравним с такими компаниями как Google и Yahoo. Немного печалит задержка с ответами, но это можно понять: у других компаний есть целые команды и отделы, которые работают с хакерами и чинят баги, а у ВК, насколько я знаю, над этим работают только 2–3 человека»
Артем Дизычев уточняет, что Bug Bounty работает по принципу кто первый обратился, тот и получит вознаграждение. Сумма определяется от критичности уязвимости.
«Опыт работы был, но я не был первым, кто опубликовал отчет. А еще одна заявка до сих пор висит непросмотреной и уязвимость не закрыта. Рассказывать детали пока не буду. C приходом Mail.Ru выплаты и реагирование на уязвимости стали унылыми и не интересными. <p>Павел был щедрым человеком, который понимал, что не существует идеальных систем. А эти ребята… за активную xss в их соцсети «Мой Мир» они выплатили всего-лишь $300. И пришлось за ними бегать около года. Вот такие вот дела»</p>