Хакер узнал телефоны Дурова и Медведева через уязвимость в редизайне «ВКонтакте» Статьи редакции
Хакер под ником Алекс Ребл обнаружил, что через закладки «ВКонтакте» можно узнать привязанные к аккаунту в соцсети номер телефона и адрес электронной почты, и получил телефоны, связанные с аккаунтами Павла Дурова и Дмитрия Медведева. В администрации «ВКонтакте» подтвердили, что такая ошибка существовала, но была исправлена, однако публично о ней не рассказывали.
Впервые об обнаруженном Реблом баге 28 августа сообщило сообщество «Код Дурова» во «ВКонтакте». На следующий день в сообществе появилось интервью со взломщиком, заявившим, что он смог получить доступ к личным данным Павла Дурова, операционного директора «ВКонтакте» Андрея Рогозова и разработчика соцсети Олега Илларионова, а также премьер-министра РФ Дмитрия Медведева.
По словам Ребла, изначально он обнаружил баг, якобы пытаясь связаться со своей девушкой, чтобы помириться. Он добавил в закладки во «ВКонтакте» её подруг, а затем обнаружил данные, которые для него должны были быть недоступны.
Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность. […]
Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON-формате: {"name":"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} — по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер.
Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп.
Как рассказал TJ администратор сообщества «Код Дурова» Михаил Верник, он связывался с Рогозовым, и тот подтвердил ему наличие ошибки, однако заявил, что публично о ней рассказывать в ближайшее время не будут. По словам Верника, обнаруженные Реблом телефоны были реальными, проверять не стали только номер Медведева (вероятно, он принадлежит сотруднику его пресс-службы), однако его почта была привязана к адресу на домене .gov.
Ребл заявил, что изначально не рассчитывал на вознаграждение за найденную уязвимость, а решил привлечь внимание администрации «ВКонтакте», чтобы ошибка была исправлена. Однако во «ВКонтакте» попросили его написать отчёт об ошибке на HackerOne — платформе, через которую соцсеть выплачивает вознаграждения за найденные уязвимости.
Вечером 29 августа Ребл намекнул, что администрация соцсети отказала ему в выплате вознаграждения. По его словам, номера девушки он так и не нашёл, хотя технически он мог проверить любого пользователя «ВКонтакте».
По мнению Ребла, об ошибке мог знать существенный круг людей — до тысячи человек. Его удивило то, что администрация соцсети не предупредила пользователей об уязвимости и не попросила поменять личные данные.
В пресс-службе «ВКонтакте» подтвердили TJ, что уязвимость была устранена, однако назвали её «не опасной для пользователей» несмотря на нарушение приватности. По словам пресс-секретаря соцсети Евгения Красникова, баг был неопасным, так как «доступа к аккаунту пользователя с помощью тех данных, которые можно было узнать из-за этого бага, получить невозможно».
Для таких больших интернет-ресурсов, как «ВКонтакте», баги и ошибки в коде, к сожалению, неизбежны. Все критичные уязвимости мы стараемся устранять максимально оперативно. Баг, который позволял узнать номер телефона, привязанный к странице, был также исправлен сразу после того, как мы о нём узнали, хотя и не представлял опасности для безопасности аккаунтов пользователей.
Сообщения о потенциальных уязвимостях сайта мы рекомендуем отправлять через платформу HackerOne, где за подтверждённые баги выплачивается вознаграждение.
Сам Ребл пояснил в разговоре с TJ, что «на HackerOne они месяц отвечают, вот они и решили не платить». По словам Красникова, невыплата премии связана с тем, что хакер эксплуатировал уязвимость: «Мы в таких случаях никогда не выплачиваем вознаграждения».
В пресс-службе правительства РФ заверили TJ, что номер телефона, привязанный к аккаунту Дмитрия Медведева во «ВКонтакте», является техническим, принадлежит сотрудникам пресс-службы и не имеет отношения к премьер-министру. Уточнять, был ли номер изменён после сообщения об уязвимости, в пресс-службе правительства не стали, но заявили, что предпринимаются все необходимые усилия для обеспечения безопасности официальных каналов.
Переход на новый дизайн веб-версии «ВКонтакте» завершился 17 августа. Его тестировали с 1 апреля среди ограниченной аудитории, а с июня начали принудительно подключать к нему остальных пользователей.
Комментарий удален
Всем выплачивают на Hacker One. Некоторые знакомые из "Котанов" постоянно туда что-то сливают и имеют не плохой заработок с этого. У данного человека был хороший шанс заработать, но вместо этого он решил похайпить. Это обычная ситуация, недавно такой же "хакер" начал в Twitter публиковать уязвимость в Telegram под macOS, а потом обижался, что ему не заплатили. Выбирай, или хайп, или деньги.
Тут вот какое дело, ВК стал отражением нынешней действительности.
Всем насрать, что они используют отжатую соцсеть, что переписку могут читать, что за репост могут привлечь, что кто то легально рубит бабло на пиратском контенте... так же как и всем насрать куда идут нефтегазовые доходы, налоги, что за люди ими руководят...
Короче всем насрать.
Еще есть любители Дурова, они его так любят, что не смогли удалить страницу когда его выперли.
Я честно не понимаю каким образом эти статьи относятся ко мне как к пользователю, который путем стандартных действий, без применения специального оборудования, случайным образом получил доступ к информации, которая неоднозначно должна быть скрытой (у многих, на страницах указан номер телефона в свободном доступе). Это раз.
Второе. Как понять это уязвимость или нет не попробовав использовать ее? А если использовал, то уже нарушил правила и не получишь вознаграждение. И в статье указано довольно неоднозначно, то когда и как он сообщил об ошибке. Я понял так, что он сообщил еще месяц назад Рогозову, который махнув рукой отправил его на HackerOne, на котором в течении месяца отвечают. За этот месяц баг не был исправлен, хоть о нем и знал Рогозов. И баг поправили, только когда о нем прознала общественность и начали писать статьи на эту тему.
По первому пункту. Я думаю ключевой момент - систематичность использования уязвимости. Одно дело просто обнаружил и забил. И совсем другое - каждый день используешь в промышленных масштабах.
Как понять это уязвимость или нет не попробовав использовать ее?
Нельзя использовать на других пользователях. Тестируй на своем аккаунте.
Если тестируешь на чужих акках, то могут:
- забанить акк
- завести уголовное дело
Тебе оно надо? Головой надо думать.
отправил его на HackerOne, на котором в течении месяца отвечают
Тут есть два пути:
- пишешь на hackerone, пытаешься по другим каналам связаться с сотрудниками вк.
- пишешь в паблик.
Второе крайне неэтично и чревато негативными последствиями.
И баг поправили, только когда о нем прознала общественность
На хабре полно таких историй. Обычно они заканчиваются баном акка у автора. И кучей комментариев, в которых его 1) кроят хуями за выкладывание уязвимости в паблик 2) советуют найти адвоката на случай возможного уголовного преследования. Тебе оно надо?
Правильный вывод: не тестируй уязвимости на пользователях, пиши на hackerone.
Чисто технически, герой статьи не пользовался уязвимостями, поскольку не нарушал работу системы и не пытался ее обмануть. Просто обрабатывал информацию, которую система ему честно выдавала и выдавала тогда, надо заметить, абсолютно любому пользователю. Что там рендерится/не рендерится в браузере - дело третье.
отправил его на HackerOne, на котором в течении месяца отвечают
И да, отвечают и по месяцу, и по два, и по три. Даже если это банковская уязвимость. Мы живем в реальном мире, а не в идеальном (в котором уязвимость правится через 5 минут). В реальном твое письмо могло вообще "потеряться".
Нужно быть к этому готовым и добиваться связи с разработчиками, а не сливать уязвимость в паблик (т.к. это чревато негативными последствиями для тебя самого).
Тут есть одна, возможно на твой взгляд, незначительная загвоздка. Пользователю глубоко насрать какие проблемы есть в сервисе. И то, что он вообще потратил свое время на то чтоб обратиться к разработчикам и сделать за них их работу - это уже есть верх этичности. И прошу заметить, что он не просил за это вознаграждения. Разработчик мог сказать - спасибо, мы исправим. Но, вместо этого, разработчик послал его в сервис, в котором в течении месяца всем было насрать.
И тут возникает вопрос. Если самому сервису и его разработчикам насрать, то почему я - пользователь должен переживать за это больше чем он?
потратил свое время на то чтоб обратиться к разработчикам и сделать за них их работу - это уже есть верх этичности
Это наивное представление, мол раз он проявил добрые намерения, то теперь все ему должны в ноги кланяться.
- он применял уязвимость против пользователей - это неэтично.
- он не стал оформлять баг как положено, хотя его просили об этом - тоже неэтично.
Решил стать белым хакером, то иди до конца по этому пути, даже если компания к найденной уязвимости относится крайне прохладно или вообще не реагирует, даже если ждать придется полгода. Вместо этого автор слился при первой трудности.
Если самому сервису и его разработчикам насрать, то почему я - пользователь должен переживать за это больше чем он?
А почему бы и нет? То, что разрабам насрать - это их личное дело. Зато ты знаешь, что поступаешь правильно. А если еще и по правилам все сделаешь, то денежное вознаграждение получишь.
Так же здесь есть момент твоей собственной безопасности: чтобы акк вк не забанили, уголовное дело не завели. Автор к таким последствиям отнесся крайне безответственно.
- он применял уязвимость против пользователей - это неэтично.
Каким образом он применил уязвимость против пользователей? Он совершал абсолютно стандартные действия, в ответ на которые получал лишнюю информацию от сервиса. Где-то написано что нельзя добавлять пользователей в закладки?
- он не стал оформлять баг как положено, хотя его просили об этом - тоже неэтично.
Он его оформил как положено, но на это положили болт.
Зато ты знаешь, что поступаешь правильно.
Что есть "правильно"? И почему у тебя этика только односторонняя? Положить болт на лояльного пользователя - это правильно, а вот положить болт на разработчика - это неправильно?
уголовное дело не завели
За что должны завести уголовное дело? За добавление пользователя в закладки? А может это на сервис надо завести уголовное дело за распространение заведомо личной информации о пользователях сервиса и непредоставление достаточной безопасности?
Только давай конкретику, без размазанных фраз и нравоучений. А то мне действительно уже становится скучно вести такой диалог.
Каким образом он применил уязвимость против пользователей?
Целенаправленно узнавал скрытые телефоны и емейлы других пользователей. А то, каким образом он это узнавал - это и есть уязвимость.
Он его оформил как положено, но на это положили болт.
Не оформил. Об этой уязвимости он не написал на hackerone, т.к. с другой уязвимостью его заявку обрабатывали месяц (а он хочет все здесь и сейчас).
Что есть "правильно"?
Я уже говорил: писать через hackerone, не использовать уязвимость против пользователей, довести до конца тикет, не сливая в паблик.
И почему у тебя этика только односторонняя?
Потому что твоя этика не зависит от чужой. Если все вокруг плюют на пользователей, то это не значит, что и ты должен так делать.
За что должны завести уголовное дело? За добавление пользователя в закладки?
Одно дело просто добавить, без умысла. А совсем другое добавлять, чтобы получить скрытую информацию. Это уже тянет на какую-нибудь 272.
Только давай конкретику, без размазанных фраз и нравоучений.
Лично я здесь обсуждаю этику.