Делается это за счет сервиса SimilarWeb, который позволяет получить доступ к сообщениям абсолютно любого пользователя. Когда вы используете сторонние приложения, где необходима авторизация через учетную запись Вконтакте- данные сохраняются на серверах разработчиков этих самых приложений, и, в последствии, передаются на сервис SimilarWeb. По данным "Вконтакте" , сервисом было получено около 400 токенов, то есть личные данные 400 пользователей...
Анонимный пользователь рассказал TJ о том, что при помощи сервиса веб-аналитики SimilarWeb можно получить доступ к личной переписке пользователей ВК. По его словам, в платной версии вы можете увидеть 300 самых популярных материалов любого сайта. Но при попытке получить данные из Вк сервис выдавал ссылки на сообщения случайных пользователей. Разработчик yoga2016 (а именно он нашел этот баг) отметил что служба безопасности соцсети отказалась выплатить ему вознаграждение в рамках программы Bug Bounty...