Основные правила информационной безопасности
В статье поделимся основными рекомендациями по информационной безопасности в интернете. Особенно они пригодятся администраторам сообществ. Это простые, но при этом эффективные советы, которые помогут защитить личные данные и обезопасить своё сообщество от взлома и других угроз.
Причины утечек
Несоблюдение правил личной информационной безопасности. Основная причина утечек — в самих пользователях. Они создают ненадёжные пароли вроде «12345», не пользуются двухфакторной аутентификацией, не читают политики конфиденциальности, давая согласие на обработку личных данных. А ещё переходят по фишинговым ссылкам, скачивают заражённые файлы — то есть поддаются на уловки мошенников.
Ошибки сотрудников. На безопасность компании может влиять человеческий фактор или недостаточная обученность персонала. Некоторые хакеры ведут прицельную атаку на сотрудников: из-за их ошибок в сеть могут утечь огромные массивы конфиденциальных данных.
Торговля информацией. Недобросовестные компании могут специально продавать базы данных другим организациям. Именно из-за этого многих пользователей атакуют звонками с незнакомых номеров десятки компаний . Если таких посредников несколько, данные могут оказаться в свободном доступе или у мошенников.
Как и для чего крадут данные
Способов кражи данных множество: от телефонного мошенничества до подмены общедоступного Wi-Fi сетью злоумышленников. Однако если говорить про соцсети, популярных способа два:
Подбор или кража паролей. В зоне риска пользователи, которые используют одни и те же комбинации на разных площадках, не подключают двухфакторную аутентификацию и игнорируют генераторы надёжных паролей. В итоге злоумышленники могут завладеть вашим аккаунтом, чтобы втираться в доверие к вашим контактам и вымогать деньги.
Фишинг. Пользователи получают опасные ссылки или файлы в личных сообщениях или видят их в сообществах. Как правило, сообщение или запись сопровождаются заманчивым предложением (выиграть в лотерею, получить наследство) или уведомлением о нарушении (штрафы, долги, взыскания). Переход по ссылке или скачивание файла приводят к тому, что на устройство попадает программа-шпион, которая даёт доступ к ПК или смартфону и позволяет красть личные данные, вплоть до паролей от онлайн-банка. Подробнее об этом — в статье « Фишинг: как не попасться на удочку ».
У злоумышленников обычно несколько целей:
Получение платёжных реквизитов. Обычно мошенничество сводится к получению лёгких денег, и кража данных банковской карты — самый популярный метод. Для этого создают поддельные сайты известных интернет-магазинов, распространяют троянские или программы слежения.
Шантаж. Мошенники могут угрожать тем, что обнародуют ваши переписки, личные фото или видео, если вы не заплатите им или не выполните другие требования.
Дискредитация. Если у вас личные счёты со злоумышленником, он может опорочить вас, используя персональные данные.
Торговля данными. В даркнете перекупают личные сведения пользователей, особенно ценятся селфи с паспортом.
Мы выделили семь правил информационной безопасности, чтобы вы могли легко запомнить и применять их.
Правило первое: не предоставляйте доступ к вашей личной информации посторонним
Если злоумышленники завладеют вашими личными данными, они смогут украсть и взломать вашу страницу ВКонтакте, а вместе с ней и сообщество. Поэтому первое и главное правило — нельзя делиться личной информацией с посторонними. Под личной информацией мы понимаем любые данные, с помощью которых злоумышленники могут получить доступ к вашим страницам в соцсетях, электронным почтам, сообществам и так далее. Например, логины, пароли и ответы на секретные вопросы.
Правило второе: создавайте надёжные пароли и обеспечивайте их безопасность
Вот несколько рекомендаций:
1. Никогда и никому не сообщайте свои пароли. Помните, что иногда это можно сделать случайно: например, если едете в автобусе и вводите в смартфоне свой пароль от какого-либо сервиса, его могут увидеть и запомнить другие люди.
2. Не храните пароли в открытом виде: например, в блокноте или в приложении для текстовых заметок. Если на компьютер или смартфон попадёт вредоносное ПО, то любые ваши данные могут стать доступны злоумышленнику. А ещё можно случайно открыть файл при посторонних. Вместо этого следует использовать менеджеры паролей — это программы, которые помогают хранить логины и пароли от разных сервисов в одном месте. Вам достаточно будет держать в голове один мастер-пароль, который нужен для доступа к программе со всеми данными.
3. Создавайте длинные и надёжные пароли . Короткие варианты злоумышленники легко могут подобрать в специальных программах. Вот небольшой чек-лист, который поможет создать надёжный пароль:
Длина пароля — 8–12 символов минимум.
В пароле одновременно используются цифры, специальные символы, строчные и прописные буквы. Примеры специальных символов: #, %, *.
В пароле отсутствуют популярные и простые сочетания. Например, последовательность цифр или букв: 123456, qwerty.
В пароле нет ваших личных данных. Например, имени, фамилии, отчества, даты рождения, серии или номера паспорта.
Пример хорошего пароля: FR_jrf_321!_ghaE . Но имейте в виду, этот пароль уже скомпрометирован, потому что его выложили в открытый доступ. Изменить пароль можно на странице ВКонтакте: «Настройки» → «Безопасность» → «Пароль». Когда вы укажете новый пароль, система подскажет, надёжный ли он:
4. Не используйте одинаковые пароли для разных сервисов . В этом случае злоумышленник может взломать один ресурс, а получить доступ сразу к нескольким.
Рассмотрим на примере. Представим, что человек регистрируется на сайте онлайн-кинотеатра, по привычке вводит пароль от своей страницы ВКонтакте. Если эта видеоплощадка подвергнется атаке киберпреступников, то пароли и другие данные пользователей могут попасть в интернет. А это уже чревато тем, что злоумышленники получат доступ сразу к нескольким сервисам, в которых пользователи зарегистрированы.
ВКонтакте в реальном времени мониторит все известные утечки и сообщает пользователям, если пароль в них фигурировал. Если комбинация была скомпрометирована на сторонних ресурсах, то ВКонтакте пришлёт уведомление. Этот процесс полностью автоматический, пароли проверяются только в зашифрованном виде и на серверах ВКонтакте.
Правило третье: используйте двухфакторную аутентификацию
Надёжный пароль — это необходимый минимум. В качестве дополнительной защиты используйте двухфакторную аутентификацию.
Аутентификация — это особая процедура подтверждения подлинности введённых данных. Когда вы заходите на свою страницу ВКонтакте, то вводите логин и пароль. В этот момент система сравнивает введённую информацию со своей базой данных, которая хранится в зашифрованном виде. Если информация совпадает, аутентификация проходит успешно и вы получаете доступ к своему аккаунту — то есть авторизововаететесь в нём.
В большинстве сервисов аутентификация двухфакторная: для входа, помимо логина и пароля, пользователю необходимо ввести код. Его получают на телефон или с помощью специального приложения для генерации кодов.
Подключить двухфакторную аутентификацию ВКонтакте можно так: «Настройки» → «Безопасность» → «Двухфакторная аутентификация».
Это более безопасный способ входа: если кто-то украдёт пароль, то он не сможет авторизоваться в аккаунте, потому что у него не будет кода.
Правило четвёртое: регулярно обновляйте антивирус и проверяйте компьютер на наличие вредоносных программ
Регулярное сканирование всех файлов и программ на вашем компьютере позволит избежать утечки данных и других нежелательных последствий.
Правило пятое: скачивайте программы и приложения только с официальных ресурсов
Программы для компьютеров скачивайте только с официальных сайтов, а приложения для смартфонов — из официальных магазинов. В противном случае можно загрузить вирус или программу-шпион на своё устройство, они могут украсть ваши логины, пароли и другие данные. Скачивание из официального магазина приложений не является стопроцентной гарантией, но существенно снижает риски.
Правило шестое: контролируйте доступ приложений к вашим данным
Например, если у вас есть приложение для подсчёта калорий и контроля за здоровым образом жизни, ему вряд ли потребуется отправлять СМС-сообщения. Проверьте все свои приложения, следуя этой логике, и ограничьте им доступ к данным, которые не нужны для корректной работы.
Правило седьмое: пользуйтесь открытыми сетями Wi-Fi с осторожностью
Лучше не пользоваться ими вовсе: они не всегда безопасны, а злоумышленники с их помощью могут украсть данные или заразить ваши устройства вредоносным программным обеспечением.
Мы рассказали о семи базовых правилах информационной безопасности, которые важно соблюдать. Следующий шаг — научиться распознавать фишинговые ресурсы, которые выманивают у пользователей их данные. О том, как не попасться на эту удочку мошенников, можно прочитать в отдельной статье.
Подведём итоги
Злоумышленники крадут данные пользователей, чтобы снимать деньги с их счетов, шантажировать или дискредитировать жертву, продавать личные сведения на теневом рынке.
Часто мошенники подбирают пароли пользователей через специальные сервисы, распространяют фишинговые ссылки и заражённые файлы, создают сайты-клоны и аналоги общедоступных Wi-Fi-сетей.
Чтобы защитить данные, пользуйтесь антивирусами, скачивайте приложения и программы с официальных ресурсов, не давайте приложениям доступ к личным данным, если они не влияют на корректность работы.
Чтобы защитить учётную запись, создавайте сложные пароли, используйте разные комбинации для каждого ресурса, подключайте двухфакторную аутентификацию, храните учётные данные в менеджерах паролей.
Как обойти авторизацию через «ВКонтакте» для Pornhub и других сайтов. Четыре простых способа для каждого
Только в России Pornhub требует от своих пользователей авторизацию через «ВКонтакте» для подтверждения их возраста, что заставляет сомневаться в том, насколько безопасно компания обращается с личными данными. Для тех, кто хочет продолжать заходить на Pornhub анонимно, есть несколько довольно простых способов обойти авторизацию. Подходящий найдётся и для тех, кто пользуется сайтом редко, и для тех, кто без любимых видео и дня прожить не может.
Днём 11 декабря аналитики Pornhub опубликовали итоги года, где расписали, сколько времени среднестатистический житель каждой страны смотрит порновидео, какие порнозвёзды ему нравятся, какой жанр видео для взрослых он предпочитает и многое другое. Россиян компания вниманием тоже не обошла.
Итоги были настолько детальными, что мы в Medialeaks задались вопросом, а действительно ли весь этот объём данных, которые Pornhub о вас собирает, хорошо защищён. Для этого мы попытались разобраться, в каких отношениях Pornhub находится с Роскомнадзором, который до сих пор не заблокировал сайт, и со «ВКонтакте». Учитывая, что только в России Pornhub просит своих пользователей авторизовываться через соцсеть, сливающую информацию силовикам, причины опасаться за свою личную информацию есть.
Однако это не значит, что от просмотра видео на Pornhub стоит отказываться совсем. Существует несколько разных способов обойти авторизацию на сайте через «ВКонтакте», чтобы избежать возможной утечки своих личных данных. О некоторых из них нам рассказали наши подписчики, некоторые мы нашли сами. И удобный способ найдётся для каждого.
VPN
Один из самых простых способов не авторизовываться через «ВКонтакте» — воспользоваться VPN. Тогда весь ваш трафик в зашифрованном виде будет проходить через сервер, адрес которого может принадлежать другой стране, а значит, ни сайты, ни провайдер не увидят, откуда именно вы заходите в интернет.
Казалось бы, логичнее всего для входа на Pornhub воспользоваться VPN-сервисом, запущенным самим сайтом для взрослых. В мае этого года компания выпустила VPNhub, но бесплатно он работает только на мобильных устройствах. На десктопе за возможность неограниченно сёрфить и при этом оставаться анонимным придётся выложить кругленькую сумму.
Но и кроме VPNhub существует немало VPN-сервисов — как встроенных в браузеры, так и самостоятельных, и при этом бесплатных. Их минус в том, что выбрать из них самый подходящий не всегда так уж легко, особенно учитывая, что создатели большинства из них всеми способами стараются заставить вас купить платную версию их программы. Для этого сервисы могут ограничивать трафик, замедлять скорость соединения, ограничивать количество стран, откуда вы якобы выходите в интернет.
Поэтому, скорее всего, вам придётся включать VPN, когда заходите на Pornhub, и выключать его сразу после этого. Да, всего пара кликов, но если вам лень делать и это, есть другое решение.
Прокси
Серверы прокси действуют по похожему принципу, что и VPN: ваш трафик перенаправляется через них, таким образом скрывая ваше местоположение, но при этом данные чаще всего не шифруются. В данном случае вам не нужно устанавливать отдельную программу или расширение, которое необходимо включать или выключать. Достаточно лишь вбить адрес бесплатного прокси-сервера в настройки вашего браузера.
Именно по такой схеме работает прокси от российского проекта «Антизапрет». С помощью созданного им сервиса проксируются все сайты из чёрного списка Роскомнадзора, чтобы скорость интернет-соединения на других веб-страницах оставалась прежней.
Легче всего настроить прокси «Антизапрета» в Firefox. В меню основных настроек Firefox вам нужно будет найти кнопку «Настроить» в разделе «Параметры сети». В открывшемся меню выбрать «URL автоматической настройки прокси» и вставить туда ссылку — https://antizapret.prostovpn.org/proxy.pac.
Чуть сложнее — в Chrome и Opera. Сначала нужно открыть дополнительные настройки, потом кликнуть по меню настроек прокси-сервера в меню «Система». Вам откроется всплывающее окно, в котором надо выбрать «Автонастройка прокси» и вставить всё ту же ссылку. Такое же окно открывается и в Safari, если зайти в меню «Дополнения» в настройках и выбрать «Настройки прокси».
Прокси от «Антизапрета» можно установить и на телефон. В айфоне для этого нужно зайти в настройки Wi-Fi, нажать «i» напротив названия сети, в меню «Настройка прокси» выбрать «автоматическая» и вставить всё ту же ссылку. На Android схема действий аналогична.
Хотя «Антизапрет» на своём сайте и пишет, что работа его прокси стабильна, серверы могут устареть или стать заблокированными, а ещё довольно сильно влиять на скорость соединения. Но есть способ избежать и этого.
Изменение кода страницы
Авторизация через ВК зашита в код страницы, и удалить её — дело нескольких секунд. Разберём на примере браузера Mozilla Firefox для Mac. Всё, что вам нужно сделать, это нажать на странице правой кнопкой мыши и выбрать из открывшегося контекстного меню пункт «Исследовать элемент». Тогда вам откроется страшное зрелище.
Но не пугайтесь. Нас интересуют лишь две строчки:
Ищем их в коде, кликаем на каждую двойным щелчком мыши, нажимаем Delete — и готово. Если не хочется каждый раз лазить в коде, хотя это и занимает секунды, можно переложить эту обязанность на программу.
Adblock
В большинстве браузерных расширений для блокировки рекламы есть возможность добавлять и настраивать собственные фильтры. Это сделано на случай, если реклама внедрена в текст, как в саму веб-страницу. Проверка возраста через «ВКонтакте» на Pornhub встроена похожим образом, и заблокировать её можно так же, как и нежелательную рекламу.
В интернете можно найти множество инструкций, как обойти авторизацию подобным способом, и чаще всего пользователи объясняют это на примере одного из самых популярных расширений — Adblock Plus. Но не спешите пугаться, что вам сейчас придётся разбираться с языком программирования. Всю работу уже сделали за вас, так что ловите готовую инструкцию от пользователя Habr с ником Kaisy.
В настройках фильтров программы нужно выбрать вкладку «Собственные фильтры» и кликнуть «Добавить группу фильтров». Внутри неё нужно добавить два фильтра:
Вот как это выглядит в Adblock для Mozilla Firefox на Mac.
Теперь вы и и навязчивой рекламы не увидите, и Pornhub сможете посмотреть. Только не увлекайтесь, особенно если смотрите порно не дома. Парень из Штатов был так неосторожен, что провалил целое ограбление из-за пристрастия к видео для взрослых. Зато урок всем остальным преступникам.
Но бывает и так, что любовь к порно подводит самих полицейских и они упускают заключённых прямо у себя из-под носа. Возможно, они смотрели даже не откровенные видео, а самый милый контент на Pornhub. Даже ваша мама, увидев такие ролики, порадовалась бы.
Pornhub ввел в России авторизацию через «ВКонтакте». Мы попросили его объяснить, зачем он это сделал
Вечером 6 июля Pornhub ввел для российских пользователей обязательную проверку возраста — через «ВКонтакте». Фактически это означает, что посещение сайта с территории РФ может сопровождаться сбором персональных данных людей, которые просматривают порно. Порносайт и «ВКонтакте» утверждают, что ничего, кроме возраста пользователей, их не интересует. Представитель Pornhub признал, что авторизация через социальную сеть требуется для того, чтобы сайт, который в России уже запрещали, избежал новых блокировок. РФ — единственная страна в мире, где Pornhub выясняет возраст у своих пользователей с помощью авторизации через соцсеть.
В России фактически введен просмотр сайта Pornhub по паспорту. С 6 июля для входа на сайт пользователь должен авторизоваться через «ВКонтакте», тем самым подтвердив, что является совершеннолетним — раньше для этого достаточно было ввести дату рождения. Чтобы завести аккаунт во «ВКонтакте» пользователь должен ввести номер телефона, легально зарегистрировать который можно только по паспорту.
Установить жесткий контроль над возрастом пользователей предложил сам Pornhub. Представитель порносайта в России Дмитрий Колодин объяснил: «Это был самый эффективный и простой способ обеспечить соблюдение российских законов о доступе к контенту для взрослых. Это простое и безопасное решение для проверки соответствия требованию 18+». Проверка возраста через соцсети, по его словам, используется сайтом только в России. Пресс-секретарь «ВКонтакте» Евгений Красников подтвердил «Медузе», что добавить авторизацию через соцсеть — это инициатива Pornhub.
В Pornhub признали, что нововведение требуется, в том числе, для того, чтобы избежать новых блокировок в РФ. Роскомнадзор уже блокировал в России сайт с сентября 2016-го по апрель 2017-го по решению суда — за распространение порнографии. «Выбор даты и года рождения (так происходила проверка возраста на сайта ранее — прим. „Медузы“) выглядел очевидным для обхода пользователями. Мы вынуждены придерживаться российского законодательства для того, чтобы продолжать активно работать на территории РФ. Этот вариант показался нам более работоспособным», — пояснил Колодин. Он признал, что «подобные истории направлены, в первую очередь, на то, чтобы избежать дальнейших блокировок и нарушений законов». Пресс-служба Роскомнадзора на запросы «Медузы» не ответила.
Pornhub и «ВКонтакте» утверждают, что данные посетителей не могут попасть к третьим лицам. «Данным пользователей, которые авторизуются на сайтах с помощью нашей формы, ничего не угрожает», — подчеркнул пресс-секретарь «ВКонтакте» Евгений Красников. «Мы забираем только возраст. Мы не храним никаких личных данных. История просмотров и прочее является конфиденциальной информацией, которую мы показываем пользователю и используем для системы рекомендаций, но не отдаем на сторону», — добавил Колодин. Большинство комментаторов под постом об авторизации на официальной странице Pornhub во «ВКонтакте» уверены в обратном.
Читайте также
- «Скорее всего, там детское что-то было» «Медуза» дозвонилась до судьи, запретившего PornHub в России
- В России ввели просмотр PornHub по паспорту. Вот как это работает
Павел Мерзликин
- Телеграм
- Фейсбук
- Твиттер
Регистрация и авторизация через VK API
Пытаюсь реализовать регистрацию/авторизацию на своём сайте через соц. сеть. Не совсем понятен принцип работы и дальнейшая безопасность после авторизации. Изучил всё что тут написано: https://vk.com/dev/openapi Создал приложение, добавил JS VK к себе, добавил тот скрипт, что там прописан. Соединение проходит, возвращается ID, имя и т.д. (всё что запрошу). Но как мне записать что-нибудь в БД, чтобы потом определить, что этот пользователь зарегистрирован/авторизован? Никакого хэша, который я бы мог использовать в этих целях, не возвращается. Конечно, я могу после авторизации и получения ответа через JS, отправить AJAX-запрос к себе на сервер с ответом, который вернул ВК, но как проверить со стороны сервера, что авторизация прошла успешно и это не злоумышленник подсунул левый ID? Хочется сделать именно асинхронную авторизацию, чтобы после клика на кнопку проверились данные и прошла авторизация/регистрация, и при этом она была бы безопасной. Смотрел серию уроков «PHP » Аутентификация через ВКонтакте» и читал другие темы по этим вопросам, но, в основном, везде рассматривается синхронная авторизация, где пользователь будет несколько раз перенаправлен на другие страницы сайта, а мне такой вариант не подходит. Допускаю только одно обновление страницы пользователя: только тогда, когда он уже авторизован/зарегистрирован. Всё остальное — в асинхронном режиме. Опять же, могу отправить ID пользователя к себе на сервер в свой скрипт, но как проверить его? Ведь у меня не будет параметра code , как в примере по ссылке выше и, соответственно, я не смогу отправить запрос для получения access_token . Поправка: параметр code нашёл, а вот параметра redirect_uri — нет, и VK отвечает так:
Делаю запрос так:
$params = array( ‘client_id’ => ‘тут ид моего приложения’, ‘client_secret’ => ‘тут ключ моего приложения’, ‘code’ => $_POST[‘user’][‘sid’], ‘redirect_uri’ => »); $token = json_decode(file_get_contents(‘https://oauth.vk.com/access_token’ . ‘?’ . urldecode(http_build_query($params))), true);
Понял, что процедуры серверного получения code не избежать. Начал делать по этим инструкциям: https://vk.com/dev/auth_sites Предварительно всё равно провожу клиентскую авторизацию и только при успехе отправляю запрос на сервер, который затем отправляет запрос для получения переменной code , но опять вылазит окно с требованием ввести логин/пароль VK (на этот раз его требует серверная авторизация), а не нормальный ответ. В качестве redirect_uri указываю адрес вызываемого AJAX-файла, надеясь, что сервер VK вернёт туда $_GET[‘code’] , и следующем запросом я смогу уже получить access_token . Я так понимаю, окно с повторной авторизацией вылазит потому, что идёт проверка IP, которые не совпадают. Как быть? Не понимаю, почему бы не сделать один и тот же code -ключ при клиентской авторизации и при серверной, чтобы можно было связать воедино и добиться-таки доступа в одно обновление страницы пользователя (с вылезающем окном VK, это ничего), но не 3-4 редиректа, как предлагается при полностью серверной авторизации в документации. Или, может, что-то делаю не так (что вероятнее). Начал в PHP-файле делать так:
if (!isset($_GET[‘code’])) header(‘location: http://oauth.vk.com/authorize’ . ‘?’ . urldecode(http_build_query($params))); else echo $_GET[‘code’];
Теперь возвращается code при прямом открытии PHP-файла, а если он вызывается AJAX`ом, то там, понятное дело, ошибка после редиректа: