Анонимный разработчик нашел уязвимость в социальной сети «Вконтакте», которая открывает доступ к перепискам пользователей. Использовав сервис SimilarWeb, он без проблем получил доступ к их профилям.
SEO-разработчик Yoga2016 заявляет, что с помощью платного аккаунта в сервисе статистики сайтов ему удалось получить доступ к личным профилям пользователей соцсети.
Как это работает
Если через SimilarWeb проанализировать «Вконтакте», то можно будет просмотреть 300 случайных материалов, находящихся на сайте. Именно этими данными оказались профили пользователей.
Стоит заметить, что получить доступ можно только к случайным профилям, а не к конкретному аккаунту.
Использовав данные ссылки, разработчик сохранил переписки пользователей к себе на компьютер. Для этого достаточно было в конце строки добавить «.xml».
Yoga2016 обратился к представителям «ВК» в рамках специальной программы Bug Bounty, суть которой заключается в получении денежных вознаграждений за найденные уязвимости и баги в соцсети.
Но ему так и не заплатили, заявив, что данная проблема не относится к работе «Вконтакте», ведь это произошло по вине сторонних разработчиков, которые имеют доступ к API (интерфейс прикладного программирования).
Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.
В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.
В SimilarWeb пока ситуацию не комментируют.
Автор: Костя Бершов
Источник: WindowsTen.ru
