Недавно, разработчик который скрывается под ником Yoga2016, нашел способ читать личные сообщения пользователей "Вконтакте" через сторонний сервис онлайн-статистики SimilarWeb.
Однако, в пресс-службе соцсети заявили, что уязвимостью это не является.
О своем открытии Yoga2016 поведал изданию TJ. Платная версия SimilarWeb дает возможность просмотра 300 популярных материалов любого сайта. Сделав запрос по vk.com, Yoga2016 получил ссылки, по которым через API "ВКонтакте" с помощью присутствующих в ссылке специальных токенов — своего рода кодов доступа — открывалась личная переписка 300 пользователей социальной сети.
Некоторые из этих ссылок содержали идентификатор пользователя, это как раз дает возможность сопоставить переписку с конкретным пользователем, зарегистрированным в "ВКонтакте" под настоящим именем. Так же в переписке, доступных через SimilarWeb, обнаруживались личные фотографии, документы, и даже пароли к сторонним сервисам. Yoga2016 сообщил, что подавал заявку в программу "ВКонтакте" по вознаграждению за найденные уязвимости,но его заявление не только проигнорировали, но и удалили.
Сейчас разработчик предполагает, что он нашел лазейку с помощью которой ВКонтакте дает доступ к личной переписке пользователей правоохранительным органам и спецслужбам. А недавно, блокировку с "ВКонтакте" сняли китайские интернет-цензоры. Обычно это означает, что администрация ранее блокировавшегося сервиса предоставила спецслужбам страны инструменты для контроля переписки пользователей или блокировки "нежелательной" информации.
В пресс-службе "ВКонтакте" в ответ на запрос TJ объяснили произошедшее иначе. Они уверенны, что виноват разработчик какого-либо из сторонних сервисов, имеющих доступ к данным пользователей. Так возможность "читать" переписку может быть у некоторых мобильных приложений-клиентов соцсети — в данном случае пользователи сами дают согласие на доступ программы .
Вероятно, создатель одного из подобных сервисов не побеспокоился о том, чтобы защитить получаемые данные от сканирующих сеть программ-роботов, в частности, используемых SimilarWeb, или намеренно передал сведения сервису статистики. Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb.
Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.
В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей. Пресс-служба "ВКонтакте" После проведенного сканирования ошибки, представители соц.сети заявили, что во всем виновато использование небезопасных VPN-сервисов, и именно они передают данные третьим лицам — например, сторонним сервисам аналитики.