[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-101273134", "adfox_url": "//ads.adfox.ru/228129/getCode?p1=byaeu&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid11=&puid12=&puid13=&puid14=&puid21=&puid22=&puid31=&fmt=1&pr=" } } ]
{ "author_name": "Дамир Камалетдинов", "author_type": "self", "tags": ["\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438"], "comments": 90, "likes": 138, "favorites": 22, "is_advertisement": false, "section_name": "default", "id": "57232", "is_wide": "" }
Дамир Камалетдинов
33 243

Школьник из Мончегорска обнаружил критическую уязвимость во «ВКонтакте», пока готовился к ЕГЭ

За это соцсеть выплатила ему денежное вознаграждение, а университет ИТМО позвал на бесплатное обучение.

Поделиться

В избранное

В избранном

Илья Глебов. Фото ITMO.NEWS

Во время подготовки к ЕГЭ по информатике, 17-летний Илья Глебов случайно обнаружил уязвимость во «ВКонтакте» и мессенджере ICQ, которая позволяла получить доступ к любому аккаунту без двухфакторного входа. Он сообщил о проблеме разработчикам и сначала получил 3 тысячи долларов (около 176 тысяч рублей), а затем место в университете ИТМО. Об этом сообщает портал вуза ITMO.NEWS.

По словам Глебова, он был занят подготовкой к экзамену по информатике, когда наткнулся на статью 2016 года, в которой говорилось, как взламывать профили на Facebook.

​ Всё произошло, когда я готовился к ЕГЭ по информатике. Там была задача под номером 27. В ней было очень много параметров, надо было пробовать, перебирать. И мне так надоело это делать, что я просто решил отвлечься и что-нибудь почитать. Наткнулся на статью об уязвимости в Facebook и решил попробовать этот способ на ВК.

Илья Глебов
Школьник, взломавший «ВКонтакте»

Суть уязвимости на Facebook сводилась к перебору кодов восстановления на тестовом домене соцсети. Глебов из любопытства решил попробовать этот же метод во «ВКонтакте». Найденная уязвимость работала с большинством страниц российской соцсети. Исключение составляли лишь те пользователи, которые настроили двухфакторную аутентификацию (вход по коду или смс).

Пойти по пути Фейсбука у Глебова не вышло. Суть уязвимости, которую он нашёл во «ВКонтакте», сводилась к тому, что соцсеть давала за одну сессию восстановления пароля отправлять смс с кодами на любые номера. Таким образом один пользователь мог получить доступ к странице любого другого пользователя, если знал номер телефона, привязанный к профилю.​ Один и тот же код приходил на разные телефонные номера.

Для обнаружения уязвимости Глебову пришлось сделать реверс-инжиниринг приложения «ВКонтакте» для Android, написать небольшую программу на C# и изучить HTTP-запросы, которыми обмениваются мобильный клиент и сервера соцсети.

По словам тинейджера, сразу после обнаружения уязвимости он сообщил об этом разработчикам через платформу для поиска багов HackerOne. Спустя 17 часов проблему устранили, а через несколько дней «ВКонтакте» выплатила Глебову 2 тысячи долларов.

На этом он не остановился и протестировал на ту же уязвимость мессенджер ICQ — там она тоже сработала. За сообщение об этом ему доплатили ещё тысячу долларов.

​ Эту задачу я делал где-то в течение двух дней, хотя по общему времени она заняла часа четыре. ​ Я примерно знаю, как работает «ВКонтакте», поэтому проверить эту мысль было достаточно просто. Хотя это, конечно, не первый раз, когда я пытался проверить что-либо на уязвимость. На HackerOne есть несколько отчетов.

Илья Глебов
Школьник, взломавший «ВКонтакте»

По словам Глебова, ещё до способа взлома аккаунтов через смс-коды, он нашёл другую уязвимость во «ВКонтакте», которая касается приватных данных, но пока не может сообщить о ней подробности.

В разговоре с ITMO.NEWS молодой человек рассказал, что пока не собирается тратить заработанные деньги, потому что «до 18 лет не сможет зарегистрировать себе Paypal-аккаунт».

В итоге ЕГЭ по информатике Глебов написал на 97 баллов, а остальные предметы — «не так успешно». По его словам, в экзамене по математике он сделал глупые ошибки. Весной Глебов закончил гимназию в Мончегорске — небольшом городе Мурманской области с населением около 40 тысяч человек.

На вопрос о том, на кого он равняется и куда будет поступать, Глебов ответил, что ему «по многим вопросам близка позиция Павла Дурова», а свою жизнь он хочет связать с информационной безопасностью.

Я просто хочу, чтобы информация людей была хорошо защищена, чтобы не случалось хакерских атак, да и в целом чтобы люди спали спокойно. Документы я подавал в пять разных вузов, но приоритетом является Университет ИТМО, потому что это действительно один из сильнейших IT-вузов. Хотелось бы пройти, но посмотрим, как получится. ​ ​

Илья Глебов
Школьник, взломавший «ВКонтакте»

После интервью с ITMO.NEWS, Глебов встретился с деканом факультета информационной безопасности и компьютерных технологий ИТМО Данилом Заколдаевым. Тинейджер успешно прошёл собеседование и проверку знаний, после чего ему предложили обучаться в университете на бюджетной основе по программе «Технологии защиты информации».

В университете рассчитывают, что Глебов выдержит нагрузку в первый год обучения и сможет «раскрыть свои таланты в области информационной безопасности». Как сообщил Заколдаев, внимание на тинейджера ИТМО обратил после публикации «на серьёзном интернет-ресурсе, где специалисты в области IT общаются и делятся опытом».

#вконтакте #технологии

Статьи по теме
Крёстный отец кроссовок: история школьника, сделавшего бизнес на сникерхедах
Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Лучшие комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против