{"id":867,"title":"TJ \u0438\u0449\u0435\u0442 \u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440\u0430 \u043b\u043e\u043d\u0433\u0440\u0438\u0434\u043e\u0432: \u043d\u0443\u0436\u043d\u043e \u043f\u0438\u0441\u0430\u0442\u044c \u0440\u0430\u0437\u0431\u043e\u0440\u044b \u043c\u0438\u0440\u043e\u0432\u044b\u0445 \u0441\u043e\u0431\u044b\u0442\u0438\u0439","url":"\/redirect?component=advertising&id=867&url=https:\/\/tjournal.ru\/team\/458238-ishchem-redaktora-otdela-longridov-nuzhno-pisat-operativnye-razbory-o-mirovyh-sobytiyah&placeBit=1&hash=10de05da23b939f2b8da1ed8ceea3dd605601445820aa5aceb4d8550ae1880a3","isPaidAndBannersEnabled":false}

Герои и Злодеевы: администраторов и авторов сообществ «ВКонтакте» деанонимизируют третий год подряд Статьи редакции

Миллионы пользователей «ВКонтакте» доверяют свои секреты сообществам вроде «Подслушано», публикуя анонимные истории, и администраторы многих страниц тоже предпочитают оставлять свои личности в тайне. Однако уже третий год подряд специалисты обнаруживают уязвимости, деанонимизирующие таких пользователей соцсети.

4 мая HTML-верстальщик из Смоленска Алексей Злодеев рассказал на «Хабрахабре» об очередном способе узнать, кто является автором предложенной в сообщество публикации, а кто — опубликовавшим её администратором. По его словам, он смог сделать это через официальный API соцсети, но для успешного разоблачения обязательно требовалось, чтобы в сообществе были разрешены комментарии.

Я смотрел метод newsfeed.getComments без каких-либо злых намерений. Этот метод возвращает посты в которых текущий пользователь оставил комментарий или иным образом подписался на уведомления (раздел «Мои новости → Комментарии»). Получив необходимые мне результаты, я обратил внимание на то, что в ответе сервера в злополучном массиве profiles лежит пять аккаунтов. Зачем они нужны и откуда они берутся, следовало немедленно выяснить. Для тестов я брал анонимную группу своего города, оставлял комментарий под последним постом и смотрел на ответ сервера по запросу к этому методу.

Оказалось, что каждый из этих пользователей имел непосредственное отношение к посту. Первым был тот, кто опубликовал новость, то есть человек с правами не ниже модератора, вторым был тот, кто «предложил новость», если он вообще был, и оставшиеся трое — последние прокомментировавшие запись. После проверки на тех группах, в которых все эти данные были «скрыты» настройками приватности, всё лишь подтвердилось. Всё именно так и было: всё, что скрывалось настройками приватности, было доступно в три клика.

Алексей Злодеев, верстальщик

По словам Злодеева, он собирался сообщить о найденной уязвимости во «ВКонтакте», однако по незнанию воспользовался неподходящими для этого средствами. Сначала он пытался отправить сообщение об уязвимости через баг-трекер «ВКонтакте», но не был в курсе, что он доступен только для зарегистрированных на платформе разработчиков.

Затем он отправил информацию о своей находке в vc.ru: там его попросили доказать работоспособность метода. Злодеев принялся экспериментировать с найденным багом и начал публиковать списки администраторов крупных новостных сообществ (РБК, Первого канала, «Известий») у себя в паблике.

Пример результата ответа, который возвращал API «ВКонтакте»

Ссылки на профили пользователей автоматически преобразовались в упоминания: администратор сообщества «Известий» заметил это и сообщил об ошибке во «ВКонтакте». Позднее аккаунт Злодеева в соцсети заблокировали.

В разговоре с TJ он признался, что до этого случая не знал о программе вознаграждения за найденные уязвимости Hacker One, в которой участвует «ВКонтакте» (соцсеть регулярно платит от 100 до 500 долларов, но иногда выплачивает более крупные награды — от 2 до 5 тысяч долларов). По его словам, он в итоге не смог подать туда заявку из-за слишком плохого знания английского языка: «Я застопорился на первом же пункте „Тип уязвимости“».

Сам верстальщик считал, что блокировка — результат жалоб упомянутых им пользователей на спам. Однако пресс-секретарь «ВКонтакте» Евгений Красников рассказал TJ, что Злодеева заблокировали за публичное эксплуатирование уязвимости, а баг устранили после обращения одного из «разоблачённых» администраторов сообществ.

Мы полностью устранили эту уязвимость. Пользователя, который воспроизводил её умышленно и публично, пришлось его заблокировать.

Евгений Красников, пресс-секретарь «ВКонтакте»

По словам Красникова, вознаграждение обнаружившему уязвимости выплачено не будет: «С террористами переговоров не ведём».

Аналогичный случай произошёл в апреле 2015 года: тогда Злодеев изучал тот же метод в API «ВКонтакте» и обнаружил схожую уязвимость. После обращения в поддержку «ВКонтакте» уязвимость закрыли, награды не выплатили, а через некоторое время аккаунт Злодеева был заморожен за якобы спамный пост на стене его собственной группы.

Первый широко известный случай такой деанонимизации произошёл в октябре 2014 года: студенты Киевского политехнического института выпустили утилиту на основе API «ВКонтакте», которая помогала вычислять администраторов сообществ через ID репостов записей. Если репостов в сообществе не было, вычислять не получалось.

Об этом же случае вспоминал Злодеев, по всей видимости считая, что нашёл уязвимость независимо от украинцев. В том случае пресс-секретарь «ВКонтакте» Георгий Лобушкин назвал этот способ разоблачения анонимов «недокументированной фичей». В разговоре с TJ Красников подтвердил, что исправленная в мае уязвимость — это «призрак той истории 2014 года» с «трудновоспроизводимой» уязвимостью.

Сам Злодеев писал, что он никакой не хакер и не разработчик, а все эти «уязвимости» (или «незадокументированные фичи») он обнаруживал почти случайно. «Я человек. Человек, которому интересно, как работает то, чем он пользуется чаще одного раза в день. И если в функциональности найден изъян, не поделиться с кем-то этим я не могу. Банально не хватает терпения сдерживать в себе информацию, которая может оказаться полезной некой категории людей, имеющих возможность извлечь из неё выгоду и поделиться со мной знанием, как такие знания использовать», — писал он в апреле 2015 года.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": [], "comments": 50, "likes": 78, "favorites": 17, "is_advertisement": false, "subsite_label": "flood", "id": 27533, "is_wide": true, "is_ugc": true, "date": "Wed, 04 May 2016 20:34:02 +0300", "is_special": false }
0
50 комментариев
Популярные
По порядку
Написать комментарий...
Ничтожный Гоша

По словам Красникова, вознаграждение обнаружившему уязвимости выплачено не будет: «С террористами переговоров не ведём».

Он совсем что ли вкрай ебанутый?

-- У вас карман сумки расстёгнут.

-- МИЛИЦИЯ, УБИВАЮТ!!!

20
Удивленный Макс

Ну если уж проводить такую аналогию, то он не указал на расстегнутый карман, а начал вытаскивать из него вещи

2
Ничтожный Гоша

Насколько я понял из текста материала, Алексей всё-таки лишь указал на дыру, а вытаскивать начали те, кому это было выгодно.

0
Удивленный Макс

Затем он отправил информацию о своей находке в vc.ru: там его попросили доказать работоспособность метода. Злодеев принялся экспериментировать с найденным багом и начал публиковать списки администраторов крупных новостных сообществ (РБК, Первого канала, «Известий») у себя в паблике.

Вот это не очень хороший поступок, как мне кажется

3

Комментарий удален

Ничтожный Гоша

Дамы и господа, пожалуйста, не переживайте -- Евгений на самом деле пока меня не заблокировал. Кто не понял -- тот поймёт...

0
Учащийся Кирилл

ШОК! Пресс-секретарь крупной российской соцсети угрожает пользователям! (ФОТО)

0
Собственный кран

Итог: мой аккаунт со всеми контактами, портфолио, коллекцией музыки, заметками и закладками канули в небытие с подписью «заблокирован навсегда». Мои группы удалили, записи потерли, дыру закрыли кардинально, в profiles теперь вообще ничего не выводится. Единственное, что у меня осталось от этого случая — нежелание сообщать о таком вообще кого-либо.

А вк-то "радует" всё больше и больше.

19
Загадочный волк

Ну и ебланы же остались работать в вк. Такое сделать надо быть психованной обиженкой.

25
Публичный Валера

Обычное поведение сотрудников mail.ru

1
Исходный химик

В очередной раз подтвердили одну истину: нашёл "уязвимость" - монетизируй сам, на форумах определённой тематики.

15
Санитарный утюг

Самое смешное, что аналогичную уязвимость я им сливал ещё году в 2014-м, тогда, правда, администраторы и предложившие в массиве profiles выдавались прямо в запросе на получение записей.

10
Правительственный Петя

Классный заголовок, интересный случай, мудаческое отношение со стороны ВК.

9
Вчерашний цвет

Классный заголовок

Дадада, мы отсылку поняли )

0
Президентский Кирилл

Я там новую вроде как нашёл. Если Хабр одобрит, ждите ещё пост!

7
Запасной танк88

На «Хабр» зачем, денег же не заплатят.

0
Дипломатический Даниль
4
Президентский Кирилл

А ты зайди к ним на hackerone, почитай условия. Мне проще посту запилить, чем париться с этим hackerone.

1
Президентский Кирилл

Тем более, я на работе сидел, читал этот пост на хабре и вспомнил что недавно делал модуль для сайта одного и юзал API их и нашёл там косячок, а времени разобраться не хватало. Сегодня на работе быстренько оттестил, вроде бы как сработало, ну, на хабре разберутся. Посмотрим.

0
Президентский Кирилл

Если с тобой можно как-то связаться, ты мне напиши, я тебе скину текст, который на модерацию кинул. Ты может и сам проверишь, разберёшься.

0
Необходимый франт

Комментарий удален по просьбе пользователя

0
Президентский Кирилл

- Ало, Иван?
- Да!
- Х** на, Вы забанены!

71
Президентский Кирилл

То чувство, когда тип с команды ВК ставил лайк тебе. Ребят, у меня тут в дверь стуфшрыиаршфипафмощтмфощж

7
Квадратный Гоша

Это граммар наци, за "типа с команды"

1
Красивый Петя

Вас тоже заберут за непоставленный дефис.

2
Квадратный Гоша

Ат тюрьмы не зарикайся, да

0
Необходимый франт

Комментарий удален по просьбе пользователя

0
Президентский Кирилл

Сначала пусть хабр проверит. И если да, то я не против в бане побыть.

0
Президентский Кирилл

Никита, я пост отменил на хабре. Списался с модерацией ВК. В отдел разработки передали, будут фиксить.

По Вашему обращению создана задача для разработчиков.
Мы надеемся, что проблему удастся решить в кратчайшие сроки.

Жду теперь, пока фиксанут.

0
Ровный Даниль

Так кто злодей то в итоге? Злодеев или Вконтакте?

5
Пищевой меч

Почему новость здесь, а не на ЦП?

2
Пищевой меч

Никаких претензий, просто странно.

0

Комментарий удален

Многие бокал

Он не злодей, а идиот.
Дважды обосрался, а потом обиделся. 10 из 10.

2
Необходимый франт

Комментарий удален по просьбе пользователя

1
Прохладный фонарь

Не в злых же намерениях, а для демонстрации и подтверждения своих слов.

1
Аналитический ихтиандр

Если нужно анонимно, зачем что-то делать со своего профиля?

1
Татарский Макс

Анонимно от тысяч подписчиков. Админ видит, ну и что. Подразумевается, что он как врач: репутация дороже, и все такое.

1
Аналитический ихтиандр

Так и представляю....
- Помогите мне "доктор", [убил,ограбил,изнасиловал,покалечил,обкакал] туеву хучу людей (или иные анонимные проблемы), фигово сплю по ночам, как мне быть? кстати - вот мои семейные фото и вобще полное фото досье, а еще ссылки на всех моих знакомых в одном месте, с адресам, телефонами, чтоб удобнее было понять что я тоже живой человек. Анонимно пожалуйста.

По моему скромному мнению - анонимность и личный профиль - это те вещи которые не совместимы, как селедка с молоком - результат предугадать не сложно.

0
Привычный Гоша

Так даже если ты создашь новый профиль и с него че-то нехорошее сольешь, то администрация в прямом смысле вычислит тебя по айпи, найдя такой же айпишник, который засветился в другом акке.

0
Аналитический ихтиандр

Зачем сидеть с одного IPшника, если нужно анонимно? Можно продолжать бесконечно, но все и так ясно, кому нужно анонимно - то сделает анонимно.

1
Участковый Орзэмэс

Да ну?

0
Привычный Гоша
0
Участковый Орзэмэс

А если общага и все через один айпишник сидят?

0
Партийный Денис

Комментарий удален по просьбе пользователя

0
Аналитический ихтиандр

Сам то понял что спросил? Если цель - анонимность - то о каких семейных фото речь?

0
Партийный Денис

Комментарий удален по просьбе пользователя

0
Долгосрочный татарин

Вк все больше становятся мудаками

0
Футбольный мангал

Вообще-то мудак здесь Злодеев, а вк все правильно сделали.

0
Качественный якорь

ну расскажи нахера тереть личные данные, записи пабликов и прочее? трите то, что непосредственно относится к теме, объяснитесь. а так это обыкновенны беспредел. совсем охуели.

0
Футбольный мангал

Беспределил как раз-таки автор, он использовал уязвимость на реальных людях, выкладывая ее результаты в паблик. За такое принято банить.

0
Женский ящик

Эм еще вроде по гифкам выложенным в паблик можно выяснять, кто админ

0
Читать все 50 комментариев
null