Занимаюсь тот одной неприятно работкой в соцсетях, как обычно выращиваю золотые уши у кроликов. Ну и заодно наблюдаю, что делают конкуренты. Оказывается на рынке давно есть предложение добавление живых френдов LiveJournal и фоловверов Twitter из числа взломанных аккаунтов. Что бы вы полностью понимали ситуацию, речь идёт не о накрутке ботами, а есть базы взломанных аккаунтов живых людей, которые ведут или забросили свой ЖЖ или Твиттер и путем незаконных действий мошенники «подписываются читать» тех, кого заказывает клиент.
О том, что такая услуга есть, я знал и раньше и выполняют её вполне конкретные люди, назовем их условно «нашисты». Если вы тщательно следите за «патриотическими» хештегами, которые выводят в топ с помощью ботов, то быстро поймете, кто это делает. Вот у них же есть и все эти базы. Но спустя время подобные предложения стали поступать от других людей. Их условно можно назвать «до конца разобравшиеся в защите Twitter и LiveJournal и научившиеся писать софт для взлома».
Какой бывает взлом
Для понимания, есть 2 типа взлома (я гуманитарий, поэтому технически мне это сложно объяснить). Первый — это уязвимость в безопасности сервисов Twitter и LiveJournal, которые позволяют определить пароль пользователя. Возможно перебором, но скорее всего, раз речь идет о десятках и тысячах сотен аккаунтов, речь о троянах и вирусах на компьютере пользователя, отправляющих пароль злоумышленнику, ну и плохо защищенное хранилище этих паролей на стороне сервисов. Поэтому злоумышленник получает доступ без верификации по электронной почте. Ему не нужна смена пароля, тк он использует взломанный аккаунт для другой цели.
Второй — уязвимости в защите почтовых клиентов (mail-ru, gmail-com и другие), которые позволяют массово отправлять подтверждение о смене пароля. Это ссылка, которую нужно нажать для подтверждения смены пароля и задать новый. В этом случае злоумышленник полностью перехватывает контроль над аккаунтом.
Как обстоят дела у других
И это относится не только к Twitter и LiveJournal (я использовал их только как примеры), потому что есть менее защищенные сервисы типа Mail-Ru, есть более защищенные типа Gmail-Com, но суть одна и таже. Это относится практически ко всем интернет-сайтам, т.к. их системы безопасности строятся примерно по одному принципу. Для дополнительной информации можете погуглить тему: количество взломанных аккаунтов twitter. Вот что показал мне поиск в Google.
Среди результатов поиска был и Хабр, на котором обсуждали тему взлома 250 тыс аккаунтов в феврале 2015 года. Там же есть комментарий, с которым я грустно соглашаюсь — 250 тыс это песчинка, а про истинные масштабы никто не знает. Зачем и кому это нужно трудно сказать. По-мелкому их используют для добавления фолловеров и друзей, но вряд ли это цель. Скорее всего речь идет о том, что бы влиятельные силы в нужный момент смогли зарядить тысячи аккаунтов поднять информационную волну. Как пример — интернетная революция.
Отследить взлом можно только по тщательному анализу аккаунта. Кого он добавил, что постил, подозрительные сообщения на электронную почту итд. Но учитывая, что люди в массе своей предпочитают относиться небрежно к социальным сетям, думаю вряд дли эта проблема кого-то будет волновать всерьез.