Хакер узнал телефоны Дурова и Медведева через уязвимость в редизайне «ВКонтакте» Материал редакции

Хакер под ником Алекс Ребл обнаружил, что через закладки «ВКонтакте» можно узнать привязанные к аккаунту в соцсети номер телефона и адрес электронной почты, и получил телефоны, связанные с аккаунтами Павла Дурова и Дмитрия Медведева. В администрации «ВКонтакте» подтвердили, что такая ошибка существовала, но была исправлена, однако публично о ней не рассказывали.

В закладки

Впервые об обнаруженном Реблом баге 28 августа сообщило сообщество «Код Дурова» во «ВКонтакте». На следующий день в сообществе появилось интервью со взломщиком, заявившим, что он смог получить доступ к личным данным Павла Дурова, операционного директора «ВКонтакте» Андрея Рогозова и разработчика соцсети Олега Илларионова, а также премьер-министра РФ Дмитрия Медведева.

По словам Ребла, изначально он обнаружил баг, якобы пытаясь связаться со своей девушкой, чтобы помириться. Он добавил в закладки во «ВКонтакте» её подруг, а затем обнаружил данные, которые для него должны были быть недоступны.

Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность. […]

Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON-формате: {"name":"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} — по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер.

Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп.

Алекс Ребл, хакер

Как рассказал TJ администратор сообщества «Код Дурова» Михаил Верник, он связывался с Рогозовым, и тот подтвердил ему наличие ошибки, однако заявил, что публично о ней рассказывать в ближайшее время не будут. По словам Верника, обнаруженные Реблом телефоны были реальными, проверять не стали только номер Медведева (вероятно, он принадлежит сотруднику его пресс-службы), однако его почта была привязана к адресу на домене .gov.

Ребл заявил, что изначально не рассчитывал на вознаграждение за найденную уязвимость, а решил привлечь внимание администрации «ВКонтакте», чтобы ошибка была исправлена. Однако во «ВКонтакте» попросили его написать отчёт об ошибке на HackerOne — платформе, через которую соцсеть выплачивает вознаграждения за найденные уязвимости.

Вечером 29 августа Ребл намекнул, что администрация соцсети отказала ему в выплате вознаграждения. По его словам, номера девушки он так и не нашёл, хотя технически он мог проверить любого пользователя «ВКонтакте».

По мнению Ребла, об ошибке мог знать существенный круг людей — до тысячи человек. Его удивило то, что администрация соцсети не предупредила пользователей об уязвимости и не попросила поменять личные данные.

В пресс-службе «ВКонтакте» подтвердили TJ, что уязвимость была устранена, однако назвали её «не опасной для пользователей» несмотря на нарушение приватности. По словам пресс-секретаря соцсети Евгения Красникова, баг был неопасным, так как «доступа к аккаунту пользователя с помощью тех данных, которые можно было узнать из-за этого бага, получить невозможно».

Для таких больших интернет-ресурсов, как «ВКонтакте», баги и ошибки в коде, к сожалению, неизбежны. Все критичные уязвимости мы стараемся устранять максимально оперативно. Баг, который позволял узнать номер телефона, привязанный к странице, был также исправлен сразу после того, как мы о нём узнали, хотя и не представлял опасности для безопасности аккаунтов пользователей.

Сообщения о потенциальных уязвимостях сайта мы рекомендуем отправлять через платформу HackerOne, где за подтверждённые баги выплачивается вознаграждение.

Евгений Красников, пресс-секретарь «ВКонтакте»

Сам Ребл пояснил в разговоре с TJ, что «на HackerOne они месяц отвечают, вот они и решили не платить». По словам Красникова, невыплата премии связана с тем, что хакер эксплуатировал уязвимость: «Мы в таких случаях никогда не выплачиваем вознаграждения».

В пресс-службе правительства РФ заверили TJ, что номер телефона, привязанный к аккаунту Дмитрия Медведева во «ВКонтакте», является техническим, принадлежит сотрудникам пресс-службы и не имеет отношения к премьер-министру. Уточнять, был ли номер изменён после сообщения об уязвимости, в пресс-службе правительства не стали, но заявили, что предпринимаются все необходимые усилия для обеспечения безопасности официальных каналов.

Переход на новый дизайн веб-версии «ВКонтакте» завершился 17 августа. Его тестировали с 1 апреля среди ограниченной аудитории, а с июня начали принудительно подключать к нему остальных пользователей.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": [], "comments": 72, "likes": 98, "favorites": 7, "is_advertisement": false, "subsite_label": "flood", "id": 33570, "is_wide": false, "is_ugc": true, "date": "Tue, 30 Aug 2016 10:07:26 +0300", "is_special": false }
Создать объявление на TJ
Музыка
У The Weeknd новый альбом — насыщенная пластинка о расставании, отчаянии и грусти
Абель Тесфайе потратил на альбом три с половиной года и выступает на нём уже как не перспективный новичок, а один из…
Комментарии

Всемирный коктейль

9

То есть он так заебал бывшую, что ей пришлось поменять номер телефона? А теперь будет пытаться получить его через подружек? Отличная история, романтика!

Внимательный танк88

5

Пусть теперь позвонит Дурову и попросит номер Катюхи. Уверен Паша поднимет старые знакомства и посмотрит по базе.

Специальный Никита

13

Операционный директор Вконтакте уже добавил этот баг в список плюсов редизайна?

Офтоп
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽
Обсуждаемое
Новости
Житель посёлка под Рязанью расстрелял пятерых соседей. По одной из версий — за шум под окнами
Стрелок попытался скрыться, но был задержан.
Новости
«Запомним этот мир в ярких цветах»: цветочный магазин в Омске раздал цветы бесплатно
По словам владельцев магазина, их бизнес «идёт на дно».
Новости
Петербургский губернатор попросил горожан поделиться планшетами и ноутбуками со школьниками
У тех заканчиваются каникулы, занятия возобновятся в удалённом режиме.
Популярное за три дня
Животные
Истории
Как сложилась судьба советских локомотивов выпускавшихся на экспорт в США, Китай, Финляндию и другие страны
Локомотивостроение в СССР являлось флагманским производством, на пике развития отрасли советский союз добился многих успехов: создан самый мощный в мире электровоз, установлен мировой рекорд скорости для тепловозов, как итог — советский союз имел большое количество заказов на производство локомотивов от многих стран.
Новости
Получены первые результаты испытания вакцины от коронавируса
Американские ученые доложили об успешном испытании вакцины от SARS-CoV-2 на мышах. После введения в их организме появились антитела в количестве, достаточном для нейтрализации вируса.

Прямой эфир