приложение cackle запрашивает доступ к вашему аккаунту
Приложение cackle запрашивает доступ к вашему аккаунту
VK.BARKOV.NET: поиск целевой аудитории ВКонтакте запись закреплена
КАК ЗАКРЫТЬ ДОСТУП ПРИЛОЖЕНИЮ К МОИМ ДАННЫМ?
Иногда меня спрашивают, как отключить доступ моего сервиса к данными пользователя (реже) или как то же самое сделать с другими приложениями (вот это сильно чаще).
Делается это буквально парой кликов, но я столкнулся с тем, что большинство людей даже не знает, как это настроить и где.
Этот момент я и хочу сегодня обсудить. На мой взгляд очень важно контролировать, кто и какую информацию может получать про ваш профиль. Конфиденциальность личных данных — наше всё.
Скорее всего, я лучше разбираюсь в этом вопросе, чем обычный пользователь ВК — просто в силу специфики моей работы. Ничего сложного во всех этих авторизациях и выдачах доступов к данным нет. Равно как и в их отмене.
Давайте сначала рассмотрим буквально «на пальцах», как работает вход в приложения через ВК.
Для входа на внешний сайт через ВК (как в мой сервис) используется специально созданное приложение для авторизации. Оно запрашивает у вас доступ к списку разделов (группы, друзья, стена, аудио, видео и тд). Вы соглашаетесь. ВК генерирует и передаёт сайту строку, которой сайт должен подписывать все ваши запросы. Она называется «токен».
В случае такой подписи ВК понимает, что запрос делает приложение такое-то (имеющее доступ к таким-то разделам) от имени пользователя такого-то. И если всё в порядке, то ВК выдаёт данные. Если не в порядке — выдаёт ошибку.
По сути, выданный вами доступ к приложению — это токен. Строка с уникальным набором букв и цифр. Обычно сайт где-то сохраняет эту строку (в базе данных или ещё где-то), чтобы использовать, когда вы захотите сделать какой-то запрос к ВК.
По сути, есть 2 варианта убрать этот доступ, если по какой-то причине вам это нужно:
1. Заставить сайт удалить этот токен из базы данных.
Вариант плох тем, что вы это никак не проконтролируете.
2. Аннулировать действие токена.
Вот это уже намного интереснее. Токен может быть остаться записанным где-то, но при подписи им любого запроса ВК уже не будет выдавать данные. Он выдаст ошибку, мол, «token failed: user revoke access».
Как же аннулировать доступ приложения к вашей учётной записи?
Ведь я говорил вам, что это дело пары кликов. Так и есть!
Находите нужное приложение, клик по крестику возле него — и всё, доступ отменён (то есть, как вы теперь знаете, это значит, что токен аннулирован).
Ну а если по каким-то причинам вы не хотите разбираться с сотнями приложений в этом списке, можно поступить методом Александра Македонского, разрубившего Гордиев узел вместо того, чтобы развязывать его.
При смене вашего пароля к учётной записи ВКонтакте сбрасывает абсолютно все доступы, выданные когда-либо каким-либо приложениям.
В общем, если лень разбираться, поменяйте пароль — и не переживайте больше насчёт доступа приложений.
Ну и да, не забудьте поставить пароль посложнее да подлиннее, а ещё обязательно активируйте в настройках 2-факторную авторизацию (подтверждение входа по логину и паролю ещё и кодом из смски).
Только не забудьте, что если вы используете мой сервис для сбора аудитории из ВК, то при смене пароля доступ к моему сервису тоже аннулируется. И если вы, например, отслеживаете новых подписчиков в группах конкурентов, то этот процесс остановится.
Поэтому, если меняете пароль в ВК — не забудьте зайти в мой сервис и повторно выполнить в него «Вход через ВКонтакте».
Если этот небольшой ликбез по работе ВК был вам полезен — напишите мне отзыв в комментариях, я буду рад 
Ну и да, сохраняйте пост у себя на стене, чтобы не потерять ссылку на этот раздел настроек. Рано или поздно это каждому может пригодиться.
Инструкция для параноиков: как отключить приложения, которые за вами следят
Аккаунты в Google и в «ВКонтакте» предоставляют доступ к вашим данным для десятков приложений и сайтов. В инструкции объясняем, почему нужно внимательно относиться к предоставляемой информации и как закрыть доступ подозрительным приложениям.
Через сторонние приложения продают данные
На этой неделе издание The New York Times сообщило, что аналитическая компания Slice Intelligence продавала переписку владельцев почты на Gmail с помощью приложения Unroll.me для отписки от рассылок. Удобный и простой сервис помогал отобразить все мусорные рассылки, на которые подписан аккаунт, и предлагал избавиться от всех них одним кликом. Единственным условием было то, что пользователи должны были открыть доступ к основной информации аккаунта Google, списку контактов и почте Gmail (не к адресу, а к самой почте). С этими разрешениями Slice Intelligence извлекала из переписки заказы в магазинах и чеки на покупки, а потом продавала их другим компаниям. Так, например, Uber попросила найти чеки на поездки у своего конкурента Lyft, и Slice Intelligence предоставила такую информацию.
Соцсети часто взламывают через слабо защищенные сторонние приложения
В прошлом месяце хакеры публиковали нацистские твиты в аккаунтах Forbes, Amnesty International и североамериканского BBC. Взломаны были не сами твиттеры, а связанные с ними аккаунты в сервисе Twitter Counter, у которого было разрешение публиковать твиты. Два года назад кто-то взломал приложение Snapsaved и украл 90 тысяч фотографий из Snapchat.
Есть много способов взлома: хакеры из группы OurMine, которая получала доступ к твиттерам главы Facebook Марка Цукерберга и главы Google Сундара Пичаи, признавались, что заходили в чужие аккаунты через сайты Quora, Bitly, Sprout Social и многие другие.
Иногда приложения запрашивают слишком много разрешений
Популярное приложение Meitu, которое делает всех милыми, просило доступ к данным, которые не нужны для его работы: о местоположении, соединении через Wi-Fi, сотовой сети, сим-карте, джейлбрейке устройства, личном идентификаторе. Игра Pokémon Go некоторое время запрашивала полный доступ к аккаунту Google: к документам, почте, контактам, Hangouts. Такой доступ имеет браузер Google Chrome.
Доступ к информации аккаунтов в социальных сетях имеют десятки сайтов. Мы открываем доступ разным сервисам и сайтам и тут же забываем об этом. Два года назад вы, например, авторизовались на сайте с недвижимостью или в каком-нибудь конкурсе, но доступ к имени, возрасту, открытой информации из Facebook и адресу почты они имеют до сих пор. То, как именно компания пользуется своей базой и насколько хорошо ее защищает от хакерских атак, — все это остается на ее совести. Вовсе не обязательно, что она умышленно может нанести вам вред, но ее сайт вполне может иметь уязвимости и ставить ваши данные под угрозу. Чем больше приложений подключено к аккаунту, тем выше вероятность, что одно из них взломают. Обращайте внимание на приложения, чьи названия и назначение не можете вспомнить — если не пользуетесь, то зачем оставлять у них данные.
Во время подготовки материала из аккаунта в «ВКонтакте» были удалены полтора десятка неизвестных приложений, в Twitter закрыт доступ 13 приложениям с разрешением писать твиты, в Dropbox и Google — к давно проданным ноутбуку и смартфону.
«ВКонтакте»
Список приложений с доступом находится в настройках во вкладке «Настройки приложений». Для каждого приложения перечислены разрешения: просмотр списка друзей, фотографий, видео, адреса почты, статистики созданных групп, возможность публиковать посты и писать сообщения. Список всех разрешений смотрите по ссылке.
Список находится в веб-версии: во вкладке «Приложения с разрешенным доступом» в настройках профиля. Instagram открывает общую информацию, список подписок, фотографии, а также разрешает лайкать, писать и удалять комментарии, подписываться и отписываться. Полный список разрешений смотрите по ссылке.
Разрешения для всех сервисов собраны в одном месте — в пункте «Связанные приложения и сайты» на странице аккаунта Google. Там же приведен список устройств с доступом к аккаунту. Возможно, найдете в нем старые смартфоны и проданные смартфоны.
У социальной сети гибкая система. Есть обязательные разрешения, без которых приложение не будет работать (обычно это имя, возраст, пол и вся открытая информация), и все остальные, например, просмотр списка друзей, адреса почты, текущего города, лайков, возможность размещать посты. Последние разрешено отключить. Может, это урежет функции приложения, а может, ни на что не повлияет. На той же странице отключаются уведомления из приложений и игр, указывается информация, которую заносят в приложения знакомые. Если сторонние приложения не нужны, отключите все (кнопка после списка). Все это делайте в настройках во вкладке «Приложения».
У сайта всего три вида разрешений: чтение (твитов, ленты, личной информации), чтение и публикация (размещение твитов, подписка и отписка, изменение личной информации), чтение, публикация и отправка сообщений. Иногда добавляют видимость адреса почты. Доступ проверяйте в настройках во вкладке «Приложения».
Microsoft Windows
Учетную запись Microsoft используют в веб-приложениях (например, Feedly), в приложениях для Windows 10 (например, Wunderlist) и Windows Phone. Они запрашивают автоматический вход в аккаунт, доступ к сведениям в любое время, к контактам, к другим приложениям Microsoft (OneDrive, OneNote) и другие разрешения. Список приложений ищите на странице аккаунта во вкладке «Безопасность».
Dropbox
Разрешения Dropbox выдают на доступ к загруженным файлам и папкам. Приложение имеет или доступ ко всем файлам и папкам, или ко всем файлам одного типа (например, фотографиям), или к файлам, выбранные владельцем. Опционально Dropbox дает доступ к адресу почты. На той же странице указаны устройства с доступом к облаку. Приложения смотрите в настройках во вкладке «Безопасность».
Android
С версии Android 6.0 Marshmallow операционная система выдает разрешения тогда, когда их запрашивают. Приложение для обработки фотографий попросит доступ к камере перед началом съемки, а к памяти — когда будет сохранять снимок. Разрешения указаны в карточках в пункте «Приложения» в настройках. Если их отозвать, приложение снова запросит, когда понадобится.
В настройках во вкладке «Конфиденциальность» перечислены функции, к которым получают доступ сторонние приложения: контакты, календарь, фотографии, социальные сети. В каждом пункте указаны приложения с соответствующим доступом. Они включаются и выключаются по желанию владельца айфона.
Как мошенники обретают доступ к аккаунтам пользователей
Во-первых, следует ответить на вопрос, зачем мошенникам нужен доступ к аккаунту пользователя. Аккаунт представляет собой электронную учетную запись, позволяющую системе идентифицировать данного пользователя.
Если взять в качестве примера аккаунт на Яндексе или Майл ру, то учетная запись здесь состоит из адреса электронной почты и пароля к ней.
На некоторых сайтах в аккаунте, кроме e-mail и пароля, может присутствовать логин – то имя, которое придумает себе пользователь для входа на сайт.
Любой посетитель после регистрации (то есть, авторизации) на каком-либо сайте получает доступ к своему аккаунту.
Если к аккаунту пользователя получает доступ мошенник, он обретает все те же возможности. Как правило, интерес мошенников вызывают те ресурсы интернета, где вращаются деньги. Причем, закон прост: чем больше денег, тем выше интерес мошенника. Хотя, если честно, то они не брезгуют и копеечными счетами, делая ставку на количество взломанных аккаунтов.
Как эти «темные личности» получают доступ к аккаунтам пользователей?
Оказывается, зачастую сам пользователь принимает в этом непосредственное участие.
Начинается все с того, что на его электронный адрес приходит письмо с требованием срочной авторизации (то есть, войти на сайт под своим логином и паролем). Но для того чтобы авторизоваться, необходимо пройти на сайт при помощи приведенной в письме ссылки. Объяснение может быть самым банальным, например, в системе произошел сбой, или все аккаунты были заблокированы из-за атаки хакеров. Естественно, отправителем данного электронного сообщения будет администрация вашего любимого сервиса. Но это на самом деле совсем не так, письмо отправлено мошенниками, единственная цель которых заключается в том, чтобы узнать имя и пароль от вашего аккаунта.
Если Вы переходите по ссылке, то попадаете на фишинговый, то есть, поддельный, сайт, который находится полностью под контролем мошенников. Отличить поддельный сайт от настоящего бывает не так-то просто. Вам останется только авторизоваться здесь, чтобы вся конфиденциальная информация для доступа к вашему аккаунту попала прямо в лапы мошенников.
Для каких целей преступники будут использовать Ваш аккаунт пока неизвестно, но если это счет в какой-либо платежной системе, можете забыть о том, что у Вас там когда-то были деньги. Еще повезет, если мошенники не наберут кредитов на ваше имя, выплачивать которые придется лично Вам. Доказать свою правоту Вы вряд ли сможете, ведь преступники будут заходить на сайт под вашим именем и с вашими паролями.
Что же представляет собой фишинговый сайт и как он создается?
Фишинговый сайт должен создавать иллюзию настоящего, чтобы ни у кого не могло возникнуть никаких сомнений в подлинности.
Технически это выполняется очень легко, страница с авторизацией (там, где вводится логин, e-mail и пароль) копируется с настоящего ресурса в формате HTML и вставляется в созданный на одном из бесплатных хостингов сайт. Осталось только добавить скрипты, то есть команды, которые будут перенаправлять данные, необходимые для авторизации, на сайт преступников. Ну а для того, чтобы особых подозрений у пользователей не возникало, на этой же странице размещаются ссылки для перехода на настоящий сайт.
Кстати, не только платежные системы интересуют злоумышленников, но и другие ресурсы, например, почтовые ящики. Чужой почтовый ящик можно использовать для рассылок со спамом в Интернете, которые являются хоть и разновидностью теневого бизнеса, зато приносят немалый доход.
Как уберечь доступ к аккаунту от мошенников?
Необходимо соблюдать ряд простых правил.
Со временем компьютерные технологии станут более безопасными, потому мошенникам все сложнее будет получить доступ к чьим-то аккаунтам. А пока «на бога надейся, но и сам не плошай», внимательность – лучшая защита, будьте бдительны!
P.S. По интернет-грамотности можно еще прочитать:
Как отключить доступ сторонних приложений к учетной записи Google
Чаще всего для авторизации на сторонних сервисах, а также в веб-приложениях мы используем аккаунт Google. Но в таком случае мы предоставляем сайту или приложению доступ к своим личным данным.
В качестве примера рассмотрим приложение PUBG Mobile. Для начала игры в нем нужно пройти процедуру регистрации. Если пользователь решит войти на сервис с помощью учетной записи Google, приложение PUBG Mobile получит доступ к его личным данным из Google Play. Кроме этого приложение сможет создавать, редактировать и удалять записи об активности пользователя в играх, доступных в Google Play.
Таким же образом приложение Google Contacts может просматривать, редактировать, загружать и безвозвратно удалять ваши контакты. До этого в качестве примера мы рассматривали доверенные сервисы. Но подобным же образом пользователь может предоставить доступ к своей учетной записи Google вредоносным приложениям и службам.
В этой статье мы расскажем, как отключить доступ сторонних приложений к вашей учетной записи Google.
Как удалить сторонние приложения из вашей учетной записи Google
Для этого нужно выполнить несколько простых шагов:
Шаг 2. Войдите в свою учетную запись Google, введя логин и пароль.
Шаг 3. Перейдите на вкладку «Безопасность» (Security).
Шаг 4. Нажмите кнопку «Настроить доступ для сторонних приложений».
Шаг 5. Здесь вы увидите все приложения, имеющие доступ к вашей учетной записи Google.
Шаг 6. Чтобы отключить доступ стороннего сервиса к данным профиля Google, нажмите кнопку «Закрыть доступ».
Именно так происходит отключение сторонних приложения от учетной записи Google.
Пожалуйста, оставляйте свои мнения по текущей теме материала. За комментарии, подписки, отклики, лайки, дизлайки низкий вам поклон!
Пожалуйста, опубликуйте ваши отзывы по текущей теме материала. Мы очень благодарим вас за ваши комментарии, дизлайки, отклики, подписки, лайки!
Необычная попытка входа: как защитить свой Facebook/Instagram от взлома
Мошенники отбирают аккаунты для вымогания денег у подписчиков или у владельцев страниц. Это может произойти с каждым, даже если у вас не бизнес-аккаунт и точно не многомиллионная аудитория. Защитите себя и своих подписчиков с помощью этой инструкции.
Спойлер: даже если некоторые советы кажутся очевидными, не пренебрегайте ими – лучше перестраховаться!
И сначала давайте договоримся, что у вас сложный пароль и вы соблюдаете нормы поведения в интернете – используете уникальные для всех площадок пароли не из 6 цифр. Facebook тоже советует ставить разные пароли везде: и на почте, и в каждой соцсети.
В чем ее смысл: при входе в аккаунт, вам будет приходить код подтверждения на телефон или на почту. Если соцсеть не заподозрит ничего, то пришлет код, если же вы (или кто-то другой) будете заходить с нового устройства или из другой страны, скорее всего площадка запросит смену пароля аккаунта (тоже только через почту). Таким образом, этап со взломом пароля для мошенника станет сложнее.
Кстати, двухфакторная аутентификация включается отдельно для аккаунтов в Facebook и отдельно для Business Manager. Если в вашем личном аккаунте она не будет включена, то у вас не будет доступа к тому BM, в котором она есть.
Проверьте в аккаунтах Facebook и Instagram бизнес-интеграции. На этой вкладке отображаются приложения, которые могут получать информацию о вас и от вашего имени управлять вашими активами – например, управлять Business Manager, рекламными аккаунтами и объявлениями.
Удалите доступы всех приложений, которым не доверяете (например, вы не добавляли эту интеграцию, не понятно, как она вообще оказалась активной), потому что бизнес-интеграция может стать причиной взлома Business Manager.
Как получается, что какие-то приложения получают доступ к интеграции? Обращайте внимание на все галочки, которые вы ставите при авторизации (и напомните об этом всем пользователям Business Manager). Некоторые приложения запрашивают доступ к данным, а некоторые – к управлению рекламой.
Например, распространена такая схема: вы видите рекламу приложения, кликаете на нее, и вам предлагают открыть приложение с помощью авторизации через Facebook.
Если приложение не проверено и вы не хотите использовать его для определенных задач, не проходите авторизацию и ни в коем случае не давайте ему доступ к вашим бизнес-активам и управлению рекламой (даже если приложение кажется надежным).
Почти любое устройство при авторизации предлагает запомнить логин и пароль, чтобы вам не приходилось их каждый раз заново вводить. Это удобно, но небезопасно. Особенно важно об этом помнить, если вы делитесь устройствами с другими людьми. Совет очевиден – не делайте так, или используйте дополнительные способы защиты (например, код блокировки телефона), чтобы никто не мог получить доступ к вашей учетной записи, если ваш телефон потерян.
Если вы логинитесь в одном аккаунте всей командой – это не очень безопасно. Давайте доступ только тем, кому это необходимо. Так вы снижаете вероятность того, что мошенники доберутся до вашего бизнес-профиля через взлом одного из коллег. А у Facebook будет меньше причин заподозрить подозрительную активность (все входы с разных устройств подозрительны) в аккаунте и заблокировать его.
Регулярно проверяйте устройства, на которых подключен ваш аккаунт – среди них могут оказаться подозрительные авторизации. Здесь можно проверить Facebook-аккаунт, а здесь – Instagram. Если видите сомнительную сессию, обязательно прекратите ее.
Если все подготовительные этапы по безопасности вы выполнили, но все равно кажется, что вас пытаются взломать, следуйте этим советам.
Instagram проводит автоматические проверки безопасности и предложит сменить пароль, если заподозрит взлом. На всякий случай: не проходите по ссылкам в SMS или Messenger, даже если они кажутся похожими на реальные. Откройте приложение и следуйте инструкции на экране или проверьте почту – все письма с предупреждением о взломах Facebook и Instagram присылают по email, на который зарегистрирован аккаунт (если только вы сами не включили в настройках дополнительные уведомления для других каналов).
Кстати, Instagram в сообщениях может присылать только код для двухфакторной аутентификации (а не всякие сбросы пароля в 4 утра).
Обратите внимание на почту, с которых вам прислали «сервисные письма». В них не должно быть набора цифр и сокращенных названий площадок. Например, Instagram отправляет все письма с почты security@mail.instagram.com. К тому же, можно легко проверить, какие именно письма вам присылала поддержка соцсети за последнее время, в самом приложении.
Обратите внимание на содержание сообщения. Например, если вы настроили дополнительные уведомления в Messenger, не попадитесь. Facebook предупреждает этим способом только о попытке вход (сообщение от Facebook Login Alerts с двумя кнопками), но не о возможной блокировке аккаунта по какой-то другой причине. И проверяйте ссылку по которой вам предлагают перейти: если домен не facebook.com, не переходите по ней, а если перешли – то ни в коем случае не вводите данные входа и сразу после подобного перехода смените пароль.
Пришло время разобрать на примерах. Вот какие подозрительные сообщения мы получили на прошлой неделе и что сделали для безопасности:
Пароль никем не запрашивался, аккаунт работал в штатном режиме.