Главная » Hi-Tech » Пользователь обнаружил возможность читать переписку пользователей «ВКонтакте» через сервис аналитики SimilarWeb

Пользователь обнаружил возможность читать переписку пользователей «ВКонтакте» через сервис аналитики SimilarWeb

Анонимный разработчик рассказал TJ об уязвимости «ВКонтакте», которая позволила клиентам сервиса веб-аналитики SimilarWeb получить доступ к приватным сообщениям некоторых пользователей соцсети.

По словам пользователя yoga2016, инструменты платной версии SimilarWeb позволяют просматривать 300 самых популярных материалов любого сайта. Однако при попытке получить данные «ВКонтакте» сервис выдал ссылки на сообщения случайных пользователей соцсети.

Разработчик отметил, что представители службы безопасности «ВКонтакте» отказались выплатить вознаграждение в рамках программы Bug Bounty.

Ссылки на переписки некоторых пользователей «ВКонтакте», полученные через SimilarWeb

Чтобы просмотреть переписки, разработчик добавил к адресам страниц «.xml». В полученных данных отображаются текстовые сообщения, смайлики, фото, а также id страниц пользователей. При этом часть сообщений дублируется в данных, полученных из разных ссылок, отмечает издание.

Алгоритм, по которому сервис отбирает страницы из «ВКонтакте», неизвестен — у части пользователей, попавших в список, меньше 50 друзей в соцсети, отмечает TJ.

Кроме того, отправив сообщение одному из участников списка, редактор TJ обнаружил своё сообщение по ссылке из SimilarWeb.

Представители «ВКонтакте» отказались признавать уязвимость и предположили, что в открытый доступ попали сообщения пользователей неофициальных клиентов соцсети.

Речь не идёт об уязвимости «ВКонтакте». Сторонние разработчики имеют доступ к открытому API нашей площадки.

Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений.

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.

В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.

Мы настоятельно рекомендуем устанавливать официальные приложения «ВКонтакте» и не пользоваться непроверенными клиентами.

#новость

Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров


x

Ещё Hi-Tech Интересное!

Призрачные антинейтрино смогут выявить тайные ядерные испытания

Ядерные взрывы излучают огромное количество легких субатомных частиц, которые могут путешествовать на большие расстояние через Землю. Государства, которые хотят проводить тайные испытания ядерного оружия, однажды будут раскрыты при помощи антинейтрино. Но большой детектор антинейтрино, расположенный в нескольких сотня километров от ...

Пять привычек в деловой переписке, которые всех бесят

Пять привычек в деловой переписке, которые всех бесят Бесит: обращения «коллеги» и «доброго времени суток» Трое сотрудников отдела маркетинга одновременно получают письмо с таким текстом: Представьте себе любую компанию, у которой есть соцсети. Завтра надо сдать отчёт по рекламе в ...