2

Разработчик случайно обнаружил возможность читать переписки пользователей «ВКонтакте» (обновлено)

Денис

вконтакте.jpg

Анонимный CEO-разработчик Yoga2016 рассказал изданию TJournal об уязвимости в «ВКонтакте», которая позволяет читать личные сообщения пользователей через сервис статистики веб-сайтов SimilarWeb. Представители социальной сети заявили, что проблему создали сторонние разработчики, и «ВКонтакте» не имеет к ней никакого отношения.

Платная версия SimilarWeb позволяет просматривать 300 самых популярных материалов любого сайта. Он использовал сервис в случае со «ВКонтакте», но вместо ожидаемого результата получил ссылки на личные сообщения 300 случайных пользователей.

Чтобы просмотреть переписки, разработчик добавил к адресам страниц расширение «.xml». В полученных данных можно прочитать текстовые сообщения, а также просмотреть отправленные смайлы, фото и id страниц пользователей. Разработчик отметил, что переписки пересекаются между собой, хотя пользователи никак не связаны и не писали друг другу.

Вконтакте

На скриншоте продемонстрированы ссылки на переписки некоторых пользователей «ВКонтакте», полученные через SimilarWeb.

Алгоритм, по которому сервис отбирает страницы из «ВКонтакте», неизвестен. У большинства из этих пользователей меньше 50 друзей и слабая активность на странице. Yoga2016 отправил сообщение одному из участников полученного списка, после чего сумел найти его по ссылке из SimilarWeb.

Вконтакте

Yoga2016 рассказал, что подавал заявку в Bounty-программу от «ВКонтакте», где пользователи могут сообщать об уязвимости соцсети и получать за это деньги от разработчиков. По его словам, во «ВКонтакте» на сообщение не отреагировали, а ветку с обсуждением удалили.

На вопросы TJournal в пресс-службе «ВКонтакте» рассказали, что уязвимость не связана с проблемой соцсети, а создана разработчиками, которые имеют доступ к API. К примеру, они могут использовать личную переписку в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.

«Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений.

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.

В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей. Мы настоятельно рекомендуем устанавливать официальные приложения «ВКонтакте» и не пользоваться непроверенными клиентами», — сказали представители соцсети.
На момент написания материала SimilarWeb не дает никаких комментариев.


Обновлено 07.03: представители «ВКонтакте» объяснили утечку переписок некоторых пользователей использованием ими ненадежных VPN-сервисов.

Проверив данные о пользователях, полученные сервисом SimilarWeb, специалисты обнаружили в их числе ключи доступа к API ботов в Telegram, истории поисковых запросов с сайтов ФБР и российского правительства, а также названия неанонсированных проектов с закрытого корпоративного ресурса неназванной игровой компании.



Канал iG в Telegram — t.me/iguides_ru
8

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

+39
а как посмотреть то переписку? желание бешеное имею
7 марта 2018 в 00:42
#
+58
Не парься за тебя Пакет яровой посмотрит
7 марта 2018 в 06:50
#
cuantro
+621
Кликбейт.
7 марта 2018 в 09:10
#
+35
Переписка пользователей слита? Слита! И не важно через какое приложение. Через API или нет — тоже не важно. Если ВК позволяет через своё API подключать не официальные клиенты, а потом заявляет о том, что не рекомендует пользоваться такими клиентами, то зачем тогда вообще это позволять? Это какая-то дич! Я бы низачто и никогда не пошел работать в ВК. Там ребята ну просто неадекватны! Общался с их frontend тимлидом на HollyJS 2017 в Питере. Так он многих элементарных вещей вообще не знает! Вот так тимлид!
7 марта 2018 в 10:35
#
+132
А тимлид и не обязан что-то знать. Он должен руководить с умным видом. Это когда наберут дол****ов тогда ему приходится самому делать.
7 марта 2018 в 11:20
#
+35
Видимо у Вас не верное представление о тимлидах. Руководить должен руководитель отдела разработки или руководитель проекта или сотрудник с аналогичной должностью. Тимлид же это лидер команды. Как правило это наиболее опытный или ведущий разработчик. Нельзя ставить знак равенства между руководителем и тимлидом. И как раз таки тимлид и должен знать предмет, а вот руководитель не обязан быть технарём.
7 марта 2018 в 18:00
#
+132
Работа тимлида на 70% менеджмент и только 30% техническая.
Естественно он что-то должен знать и понимать. Но он больше читает чем пишет код.
На тимлида надо выдвигать людей которые умеют организовать команду на трудовые подвиги потому что всегда не хватает одного дня (код же можно улучшать до бесконечности). Или вовремя остановить. И умеет решать административные вопросы. Всё-таки тимлид больше менеджер.
Для технических вопросов должен быть течлид.
7 марта 2018 в 20:27
#
+35
Вы наверное и есть тот тимлид с ВК, с которым я общался на HollyJS :-) Ну ок, спорить с Вами не буду. Но в американских IT компаниях всё не так. Я периодически работаю то на территории России то в Калифорнии (в бывшем Xerox PARC). Ну и там у нас все именно так, как писал я.
7 марта 2018 в 23:46
#
+39
но я ведь тоже хочу(((((
7 марта 2018 в 14:53
#
Oksana Titova
0
Предлагаю услуги по взлому
любые соц сети
мессенджеры
взлом сайтов партнеров
исправление КИ
прослушка и детализация номера
определение местоположения
и многое другое
обращайтесь поможем расскажем

телефон 89602337537 ( ватсапп так же имеется )
Алексей михайлов
19 августа 2021 в 22:06
#