Анонимный пользователь рассказал TJ о том, что при помощи сервиса веб-аналитики SimilarWeb можно получить доступ к личной переписке пользователей ВК.
По его словам, в платной версии вы можете увидеть 300 самых популярных материалов любого сайта. Но при попытке получить данные из Вк сервис выдавал ссылки на сообщения случайных пользователей.
Разработчик yoga2016 (а именно он нашел этот баг) отметил что служба безопасности соцсети отказалась выплатить ему вознаграждение в рамках программы Bug Bounty.
Чтобы посмотреть все переписки, нужно только добавить к адресам «.xml». В полученных данных вы увидите текст, смайлики, фото и id страниц пользователей.
Алгоритм, по которому сервис отбирает страницы «жертв», неизвестен. У некоторых пользователей, попавших в список, было меньше 50 друзей. Редактор TJ решил отправить сообщение одной из жертв «взлома», и что вы думаете? Он обнаружил своё сообщение по ссылке из SimilarWeb.
Представители «ВКонтакте» говорят, что здесь не идет никакой речи об уязвимости соцсети, так как сторонние разработчики имеют доступ к открытому API площадки. А пользователь сам разрешил доступ к конфиденциальной информации неофициальным клиентам, плюс использовал ненадежные VPN-сервисы.
Проверив «слитые» данные, специалисты обнаружили ключи доступа к API ботов в Telegram, истории поисковых запросов с сайтов ФБР и российского правительства, названия неанонсированных проектов с закрытого корпоративного ресурса игровой компании.
Больше никаких действий со стороны администрации «ВКонтакте» не было. Ситуацию сейчас обсуждает весь рунет, а им совершенно все равно. От Дурова в свое время был хоть какой-то фидбек, а здесь же вообще тишина и никакого движения в сторону пользователей.