6 января 2010 г.

Умный перебор паролей в vkontakte.ru

На днях, в качестве следственного эксперимента, я попробовал на 10-ти аккаунтах знакомых "блондинок", почта которых была мне известна проверить банальнейший пароль: дату рождения, в формате: деньмесяцгод. Меня результат порадовал (читать ошеломил) к 2-м аккаунтам пароли подошли.

Не обращая внимание на все вышесказанное, думаю каждый согласится, что владея информацией личного характера пароли подбираются гораздо результативнее, а социальная сеть как раз то место где люди без всякой задней мысли эту информацию о себе сливают.

Проблема остается одна, сопоставить id в контакте и e-mail пользователя. Для ее решения нам приготовлен достаточно извращенный способ, но действующий обратно, сопоставить e-mail пользователя с его ФИО и фото. Это фитча контакта "Поиск друзей" действующая по следующему сценарию: пользователь вводит свой e-mail с паролем, бот контакта заходит на ящик пользователя и на основании данных почтового списка контактов, выводит пользователю все аккаунты заведенные в контакте, но отсутствующие в друзьях пользователя в формате: ФИО, фото, e-mail, а если проанализировать путь к фото, то можно заметить, что она из папки u*******, где ******* - id пользователя. Проблема с однозначным определением остается лишь с аккаунтами у которых фотография отсутствует.

Таким образом имея достаточную базу e-mail-ов и скормив ее боту контакта, либо тупым способом заведения их всех в контакты почтового ящика, либо разобравшись с алгоритмом работы бота и подсунув ему все напрямую, у нас будет уже достаточно данных для умного брутфорса, по крайней мере по значениям: дата рожденья, родной город, ник, имя, телефон. (Надо заметить, что контакт требует капчу после 5 неудачных попыток ввода)

Таким образом можно набрать себе неплохую армию ботов для умного спама

Хотя если абстрагироваться от всего вышесказанного, то имею базу майлов и и прогнав ее по паролям: qwerty, zxcvbnm, любовь, qwertyuiop, qazwsxedc первых из TOP20 популярных паролей из Анализа паролей пользователей ВКонтакте проведенного Дмитрием, можно гарантированно получить ту же "армию", для тех же целей.

Комментариев нет:

Отправить комментарий