Вы все еще думаете, что привязывать телефон к соцсети — безопасно?

Занятную брешь в безопасности пользовательских данных
обнаружил и описал
в своем блоге security assessment Дмитрий Евтеев. Оказывается, привязка телефонного номера к странице в соцсети — вопрос не только безопасности и верификации аккаунта.

В частности, Дмитрий обратил внимание на возможность узнать телефонный номер пользователя, зная его почтовый адрес. Дело в том, что при восстановлении доступа к странице (через «Забыли пароль?») ВКонтакте до недавнего времени показывал первые 7 цифр телефонного номера пользователя. В то же самое время Фейсбук в похожей ситуации (даже и без всякой почты) показывает последние 4 цифры номера.

Нехитрая манипуляция — и как будто можно собрать целый номер (если, конечно, к обеим страницам привязан один и тот же — но именно так дело обстоит в большинстве случаев).

К счастью или к сожалению, ВКонтакте тоже читают блоги, посвященные безопасности (ну, или случилось невероятное совпадение). С сегодняшнего дня под звездочками скрываются первые 8 цифр номера (за исключением кода страны).

Google, на который Дмитрий тоже обратил внимание, тоже отдает последние 2 цифры.

Но это уже не важно.