Анонимный CEO-разработчик Yoga2016 рассказал изданию TJournal об уязвимости в «ВКонтакте», которая позволяет читать личные сообщения пользователей через сервис статистики веб-сайтов SimilarWeb. Представители социальной сети заявили, что проблему создали сторонние разработчики, и «ВКонтакте» не имеет к ней никакого отношения.
Платная версия SimilarWeb позволяет просматривать 300 самых популярных материалов любого сайта. Он использовал сервис в случае со «ВКонтакте», но вместо ожидаемого результата получил ссылки на личные сообщения 300 случайных пользователей.
Чтобы просмотреть переписки, разработчик добавил к адресам страниц расширение «.xml». В полученных данных можно прочитать текстовые сообщения, а также просмотреть отправленные смайлы, фото и id страниц пользователей. Разработчик отметил, что переписки пересекаются между собой, хотя пользователи никак не связаны и не писали друг другу.
Алгоритм, по которому сервис отбирает страницы из «ВКонтакте», неизвестен. У большинства из этих пользователей меньше 50 друзей и слабая активность на странице. Yoga2016 отправил сообщение одному из участников полученного списка, после чего сумел найти его по ссылке из SimilarWeb.
Yoga2016 рассказал, что подавал заявку в Bounty-программу от «ВКонтакте», где пользователи могут сообщать об уязвимости соцсети и получать за это деньги от разработчиков. По его словам, во «ВКонтакте» на сообщение не отреагировали, а ветку с обсуждением удалили.
На вопросы TJournal в пресс-службе «ВКонтакте» рассказали, что уязвимость не связана с проблемой соцсети, а создана разработчиками, которые имеют доступ к API. К примеру, они могут использовать личную переписку в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.
«Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений.На момент написания материала SimilarWeb не дает никаких комментариев.Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.
Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides
В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей. Мы настоятельно рекомендуем устанавливать официальные приложения «ВКонтакте» и не пользоваться непроверенными клиентами», — сказали представители соцсети.
Обновлено 07.03: представители «ВКонтакте» объяснили утечку переписок некоторых пользователей использованием ими ненадежных VPN-сервисов.
Проверив данные о пользователях, полученные сервисом SimilarWeb, специалисты обнаружили в их числе ключи доступа к API ботов в Telegram, истории поисковых запросов с сайтов ФБР и российского правительства, а также названия неанонсированных проектов с закрытого корпоративного ресурса неназванной игровой компании.
Канал iG в Telegram — t.me/iguides_ru
