Специалист по безопасности Дмитрий Евтеев в своем блоге обратил внимание на потенциальную проблему с утечкой личной информации через форму восстановления забытого пароля в соцсетях.
Получается, что через форму восстановления пароля можно узнать личный номер любого пользователя, который зарегистрирован в нескольких сервисах: Facebook, Gmail, ВКонтакте. Он констатирует, что это касается всех сервисов, которые во время восстановления пароля высылают код подтверждения на мобильный телефон.
Следовательно, номер телефона в международном формате +7 (234) 5678901 (в Украине номер начинается с +8 – ред.) содержит 11 цифр. Во время восстановления чужого пароля ВКонтакте сообщает первые семь цифр номера… ….а Facebook – последние четыре цифры. “Такое впечатление, что социальные сети сговорились, чтобы специально выдать номер пользователя полностью”, – говорит Евтеев.
По его словам, достаточно знать адрес электронной почты пользователя. И если он зарегистрирован в обеих социальных сетях и при этом указал свой номер, то его без проблем можно узнать. Евтеев также добавляет, что связка аккаунтов Вконтакте и Gmail дает хороший результат, потому что Gmail сообщает две последние цифры номера. В результате остаются неизвестными еще две цифры и получается, что достаточно перебрать всего 100 вариантов.