Jump to content

Обнаружен способ читать переписку «ВКонтакте»


VAOZ
 Share


Recommended Posts

5accf5ad793b4_.jpg.9c29e360fdc8225db89b9ab89741fd41.jpg

CEO-разработчик под ником Yoga2016 нашел в соцсети «ВКонтакте» уязвимость, позволяющую читать переписки пользователей с помощью сервиса статистики SimilarWeb. Об этом сообщает TJournal.
Сервис SimilarWeb позволяет получать статистику сайтов и соцсетей из поисковых систем. Он собирает данные о трафике и самых популярных материалах.
Платная версия сервиса, по словам Yoga2016, позволяет посмотреть 300 самых популярных материалов сайта. По словам программиста, когда он применил SimilarWeb, чтобы увидеть самые популярные материалы «ВКонтакте», то получил личные сообщения 300 случайных пользователей. Как именно они были отобраны, неизвестно, так как у некоторых из этих пользователей всего около 50 друзей и низкая активность на странице.

Yoga2016 прислал TJ несколько ссылок на переписки пользователей, где в строке user указаны id-адреса страниц. Там же можно найти фотографии и пароли.
Представители «ВКонтакте» заявили изданию, что некоторые разработчики, имеющие доступ к программному интерфейсу, могли злоупотребить своими правами и передать данные в SimilarWeb.
В соцсети подчеркнули, что 400 пользователей осознанно передали «небезопасному приложению» доступ к личным данным.
Представители «ВКонтакте» заверили, что «оперативно расследуют» этот вопрос и «уже заблокировали подобные токены, чтобы обезопасить пользователей».
В комментарии, опубликованном соцсетью, подчеркивается, что данные пользователей в SimilarWeb передавали ненадежные VPN-сервисы. По словам директора по технологиям «ВКонтакте» Сергея Кубасова, пользователь, разрешивший таким VPN-приложениям или прокси-сервисам доступ к трафику на своём устройстве, рискует передать третьим лицам свою историю посещений, личные сообщения, информацию об аккаунтах в разных сервисах и данные банковских карт.
По итогам анализа, проведенного специалистами «ВКонтакте», выяснилось, что речь идёт об использовании небезопасных VPN-сервисов, которые передают данные, например, сторонним сервисам аналитики.
«ВКонтакте» также изучила данные о сетевых запросах пользователей, доступные на SimilarWeb. Среди них оказались ключи доступа к API ботов в Telegram, позволяющие отправить любое сообщение от имени чужого бота, история поисковых запросов с сайтов ФБР и российского правительства, а также «названия не анонсированных проектов с закрытого корпоративного ресурса крупной игровой компании».
Представители «ВКонтакте» порекомендовали не использовать VPN-сервисы от непроверенных разработчиков.
Летом прошлого года 17-летний школьник из Мончегорска обнаружил критическую уязвимость во «ВКонтакте», которая позволяла получить доступ к любому аккаунту без двухфакторного входа. Он сообщил об уязвимости разработчикам, через 17 часов проблему устранили, а «ВКонтакте» выплатила школьнику вознаграждение.

Link to comment
Share on other sites


Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share


×
×
  • Create New...