Спосіб для читання чужої листування «ВКонтакте»
Анонімний користувач розповів TJ про те, що за допомогою сервісу веб-аналітики SimilarWeb можна отримати доступ до особистої листуванні користувачів ВК.
За його словами, в платній версії ви можете побачити 300 найпопулярніших матеріалів будь-якого сайту. Але при спробі отримати дані з Вк сервіс видавав посилання на повідомлення випадкових користувачів.
Розробник yoga2016 (а саме він знайшов цей баг) зазначив що служба безпеки соцмережі відмовилася виплатити йому винагороду в рамках програми Bug Bounty.
Щоб подивитися всі переписки, потрібно тільки додати до адрес «.xml». В отриманих даних ви побачите текст, смайлики, фото і id сторінок користувачів.
Алгоритм, за яким сервіс відбирає сторінки «жертв», невідомий. У деяких користувачів, які потрапили в список, було менше 50 друзів. Редактор TJ вирішив відправити повідомлення однієї з жертв «злому», і що ви думаєте? Він виявив своє повідомлення за посиланням з SimilarWeb.
Представники «ВКонтакте» кажуть, що тут не йдеться ніякої мови про уразливість соцмережі, так як сторонні розробники мають доступ до відкритого API майданчика. А користувач сам дозволив доступ до конфіденційної інформації неофіційними клієнтам, плюс використовував ненадійні VPN-сервіси.
Перевіривши «злиті» дані, фахівці виявили ключі доступу до API ботів в Telegram, історії пошукових запитів з сайтів ФБР і російського уряду, назви неанонсовані проектів з закритого корпоративного ресурсу ігровий компанії.
Більше ніяких дій з боку адміністрації «ВКонтакте» не було. Ситуацію зараз обговорює весь рунет, а їм абсолютно все одно. Від Дурова свого часу був хоч якийсь фідбек, а тут же взагалі тиша і ніякого руху в бік користувачів.
Редактор TJ вирішив відправити повідомлення однієї з жертв «злому», і що ви думаєте?