Вчера появилась информация, что хакер взломал и выставил на продажу свыше 100 миллионов аккаунтов пользователей соцсети "ВКонтакте", включая их имена, фамилии, email, номера телефонов и пароли. Хакер заявил, что аккаунты были взломаны между 2011 и 2013 годами и он готов продать их данные за 1 биткоин (около 570 долларов). Кроме того, взломщик имеет доступ еще к 71 млн личных данных пользователей, но пока не определился с их продажей.
Администрация социальной сети "ВКонтакте" информацию о взломе базы данных ее пользователей отрицает. Как сообщил порталу vc.ru сообщил представитель компании Евгений Красников. "Взлома базы данных ВКонтакте не было, речь идёт о старой базе логинов/паролей, которую мошенники собирали в период с 2011 по 2012 годы. Всем упомянутым в ней пользователям данные для входа на страницы менялись принудительно", – заявил он.
"Страна" с помощью интернет-экспертов отвечает на три главных вопроса о взломе "ВКонтакте".
Как хакер взломал "Вконтакте"?
Если учесть, что вся аудитория "Вконтакте" насчитывает около 350 миллионов пользователей, а хакер владеет 100 миллионов аккаунтов и еще более 70 миллионов в запасе, у него есть доступ к почти половине аккаунтов соцсети. Эксперты считают, что взлом такого масштаба вряд ли мог произойти по самой простой и обыкновенной для хакеров схеме – ручному подбору пароля.
"Если у хакера есть логин, то в таком случае самый распространенный способ взлома – ручной подбор пароля. Но 100 миллионов аккаунтов таким образом не взломаешь. Процент людей с паролями "QWERTY" и "123456" невелик – это либо люди старшего возраста, которым сложно запоминать длинные пароли, либо те, которых не заботит защищенность своих данных", – объяснил "Стране" экс-инженер интернет-компании "Релком", основатель компании "Медіа-Трейд Україна", а ныне – замглавы Департамента Патрульной Полиции Сергей Блажевич.
Он считает, что взлом "ВКонтакте", скорее всего, произошел из-за утечки данных, так как личные данные пользователей хорошо защищаются и взломать базу данных соцсети – очень непростая задача.
"Если похищаются несколько тысяч учетных данных пользователей, в этом чаще всего виноваты слабые пароли. Но если речь идет о взломе миллионов аккаунтов, дело скорее в базе данных, в которой хранятся логины и пароли. Хакер получил доступ к аккаунтам либо из-за слабой системы защиты сервиса, либо же это благодаря утечке данных – как это было, например, с Панамским скандалом. Взлом это был или утечка – уже вопрос для расследования", – рассказывает Блажевич.
А вот президент холдинга Internet Invest Group, председатель Комитета ИнАУ по вопросам электронной коммерции Александр Ольшанский и вовсе сомневается, что аккаунты были взломаны.
"К таким сообщениям нужно относиться осторожно – не факт, что этот хакер действительно взломал аккаунты. Это может быть фейк. А те, кто проверяли аккаунты (сайт LeakedSource - прим.ред.), тоже могут быть в сговоре. Но если действительно взломали аккаунты, значит, теперь пользователи должны срочно вспомнить, не использовали ли они такой же пароль где-либо еще (что обычно происходит), и срочно поменять его", – советует Ольшанский.
А виноваты ли пользователи во взломе?
Эксперты считают, что не стоит вешать всех собак на слабую систему защиты данных "ВКонтакте" – сами пользователи социальной сети не уделяют должного внимания своей IT-безопасности, используя элементарные пароли типа "12345" и "QWERTY".
Самый простой совет, который можно дать пользователю в такой ситуации – использовать более надежные пароли и поменять существующий пароль на более сложный.
Директор Ассоциации "IT Украины" Виктор Валеев рекомендует, кроме прочего, пользоваться функциями, которые позволяют контролировать время и устройство, с которого был выполнен вход в аккаунт: "Если вам придет уведомление, что в определенное время и с определенного девайса в ваш профиль входили, и это не соответствует вашим активностям, – срочно обращайтесь в службу поддержки и меняйте пароль".
Другое дело, если соцсеть для вас – лишь площадка для развлечений, а не для серьезных дел, и вы используете аккаунт не от своего имени.
"Соцсеть – это всегда баланс между защищенностью аккаунта и приватностью (privacy). И каждый определяет его для себя сам. Если вы не хотите, чтобы ваш privacy где-то всплывал, регистрируйтесь с бесплатным почтовым ящиком, который не используете для работы, и не указывайте реальный номер телефона", – советует Сергей Блажевич. В таком случае взлом, даже если он произойдет, не навредит вашим личным данным.
Что будет с "ВКонтакте"?
Скажется ли история со взломом на соцсети, будет зависеть от ее реакции на инцидент, считают эксперты. Но взлом однозначно ударит по ее репутации. Часть аудитории, которая, возможно, пострадает от взлома информационно (если последуют утечки из личных переписок, например), возможно, и вовсе покинет эту соцсеть.
Но главное – этот инцидент говорит о том, что система текстовых паролей в соцсетях уже устарела и требует апгрейда, считает советник городского головы Львова по вопросам инноваций и инвестиций Илья Кенигштейн.
"Apple уже научились защищать доступ к телефону с помощью тачскрина – считки отпечатков пальцев. Можно проводить аутентификацию и по сетчатке глаза. Это сегодня возможно и быстро массово реализуемо. Доступ к интернету и, в частности, к соцсетям, сегодня требует совершенно другого подхода. Подобные взломы напоминают нам об этом. Я знаю, что новым подходом к системе безопасности уже серьезно занимаются Google и Facebook", – рассказывает эксперт.
По словам Ильи Кенигштейна, сегодня все, что может сделать "ВКонтакте" – попросить пользователей поменять пароли и выбирать двухфакторную аутентификацию аккаунта.