Украинские студенты благодаря багу «ВКонтакте» научились вычислять админов сообществ соцсети Статьи редакции

Студент киевского Политехнического института (КПИ) на основе обнаруженного во «ВКонтакте» бага разработал утилиту, позволяющую установить администратора любого из сообществ соцсети. Ссылка на программу 29 октября появилась в группе «КПИ live».

Утилита, которая получила название «Срыватель покровов», работает на основе API «ВКонтакте». Для того, чтобы получить ссылку на профиль администратора того или иного паблика, достаточно скопировать адрес сообщества в поисковую строку и нажать кнопку «Сорвать покровы».

После этого программа показывает страницу или страницы тех, кто руководит публикацией записей в указанной группе. Рядом с ссылками отображаются также репосты из сообщества, благодаря которым удалось установить личность админа. Если репосты в группе отсутствуют, «Срыватель покровов» не работает.

Баг при репостах, который лёг в основу утилиты, был обнаружен 28 октября другим студентом киевского политеха Владиславом Белогородским.

Как сообщил в своём блоге Белогородский, узнать имя опубликовавшего репост админа можно во всплывающем окне с аватарками тех, кому понравилась запись.

В случае с оригинальными публикациями в группах в таком окне отображается стандартный текст со словами «Оценили запись сообщества». Однако, когда речь идёт о репосте, список поставивших «лайк» сохраняет привязку к имени того, кто опубликовал его в паблике.

По словам автора утилиты, созданная им программа «пока работает не всегда правильно» и иногда выдаёт за администратора не связанного с сообществом человека. На некорректное отображение админов жалуются в комментариях и некоторых из опробовавших её пользователей. Проверка, проведённая TJournal, показала, что «Срыватель покровов» работает корректно.

Один из пользователей также заметил, что обнаруженный в соцсети баг на самом деле не является ошибкой, существует уже несколько лет и связан с особенностями кода функции wall.getReposts, «возвращающего список всех, кто репостнул».

Пресс-секретарь «ВКонтакте» Георгий Лобушкин сообщил TJournal, что обнаруженный украинскими студентами способ установки личностей админов не является багом. По словам Лобушкина, в настоящее время сотрудники ресурса изучают указанную «недокументированную фичу».

Это не баг, потому что с уверенностью определить администратора, репостнувшего запись, невозможно. Но спасибо автору за наводку, наши специалисты уже изучают эту недокументированную фичу. Георгий Лобушкин

0
44 комментария
Популярные
По порядку
Написать комментарий...
Абстрактный дебаркадер

Это не баг, а фича.

22
Абстрактный дебаркадер
48
Абстрактный дебаркадер

А как же "вычислить по ip"?

8
Абстрактный дебаркадер

Бендеровцы, одним словом.

20
Абстрактный дебаркадер
25
Абстрактный дебаркадер

Бандера прийде — порядок наведе.

3
Абстрактный дебаркадер

порялюлк же.

0
Абстрактный дебаркадер

Не думал, что увижу имя бывшего соседа по этажу на тж :|

3
Абстрактный дебаркадер

Давно уже эту особенность API люди используют, думая, что это просто фича и тут каким-то скрипт кидисам захотелось повыпендриваться.

2
Абстрактный дебаркадер

Я помню, что можно было вычислить id пользователя загрузившего фото от имени паблика, но эту вещь исправили.

1
Абстрактный дебаркадер

Ржали всем отделом.
Отделом "Э"

2
Абстрактный дебаркадер

Всегда было интересно найти странички админов некоторых групп/пабликов.
Нашёл.
Не знаешь, что делать дальше.

2
Абстрактный дебаркадер

Как что? Шантажировать, например.

0
Абстрактный дебаркадер

Когда прочитал про эту фишку, решил сам поковырять api на наличие других изъянов. Через 10 минут поисков обнаружил, что wall.getById выдает автора поста опубликованного анонимно в группе типа Подслушано, если он отправлен через "Предложить новость".
Написал в тех. поддержку, они за пять часов не ответили, но все закрыли к херам :с Успел только в местном подслушано улицезреть авторов постов a'la "где недорого сделать аборт", "мне нравится парень в синей куртке и леггинсах" и "кто хочет с двумя притяными парнями покататься на машине вечером". Зрелище не из приятных, но факт того, что анонимность по сути отсутсвовала в группе, где она является основной фичей не радует.

1
Абстрактный дебаркадер

Живи
Люби
КПИ
^_^

1
Абстрактный дебаркадер

Чтобы что?

0
Абстрактный дебаркадер

Галина?

9

Комментарий удален

Абстрактный дебаркадер

Ну мы ведём сообщество из под своих аккаунтов, например.
Но в контактах указан аккаунт, который не делает репостов, например.

Но сервис выдал всего две записи, которые мы удалили. Теперь он репостов не показывает.

0
Абстрактный дебаркадер

Лень проверять кто там админит rkn?

0
Абстрактный дебаркадер

Хитрые бестии не делают репостов. Видимо, знают.

4
Абстрактный дебаркадер

Там фейковая страница её ведёт. Я находил её, но она пустая.

0
Абстрактный дебаркадер

Комментарий удален по просьбе пользователя

5
Абстрактный дебаркадер

Скифча в чём провинился?

0
Абстрактный дебаркадер

Потому что котик и он через ВК стал популярным.

0
Абстрактный дебаркадер

А разве парсить админов нельзя через вкбот?

0
Абстрактный дебаркадер

Нет.

0
Абстрактный дебаркадер

А кого тогда я парсил?

4
Абстрактный дебаркадер

Не админов, очевидно же.

6
Абстрактный дебаркадер

Если вы не знаете значение слова "парсить", так хоть не позорьтесь, чтоли.

0
Абстрактный дебаркадер

Добавил в закладки "Срыватель покровов"

0
Абстрактный дебаркадер

Не работает нифига.

0
Абстрактный дебаркадер

вводиь нужно только id группы или паблика.
если нет репостов-то не работает

0
Абстрактный дебаркадер

И зафиг это нужно?

0
Абстрактный дебаркадер

Уже не работает

0
Абстрактный дебаркадер

Комментарий удален по просьбе пользователя

0
Абстрактный дебаркадер

Не пались, да не опалён будешь.

1

Комментарий удален

Абстрактный дебаркадер

Не ходите - там мой брат

0
Абстрактный дебаркадер

Ну чё там, Гуфовский таки админит Батю?

0
Абстрактный дебаркадер

Эх.

0
Абстрактный дебаркадер

Еще год назад в адовой группе "подслушано %мой_вуз_нейм%" нашел админа. Просто заметил такую особенность, что если получить прямую ссылку на аватарку группы, то можно заметить, что три последние цифры id картинки совпадают с id страницы, с которой разместили аватар. Ну а дальше просто заходим в поиск по подписчикам и листаем вниз, потом сохраняем страницу и открываем блокнотом. В блокноте ходим поиском по последним трем цифрам id. Понятное дело, что способ работает, если людей в группе не так уж и много.

Да и вообще глупо скрывать что-либо в соц.сети имея реальный аккаунт.

0
Абстрактный дебаркадер

>сохраняем страницу и открываем блокнотом

А не проще открыть исходник сразу в браузере?

0
Абстрактный дебаркадер

Можно и так, только у меня тогда браузер рефрешил страницу при открытии исходного кода. Сейчас уже не могу сказать почему так происходило

0
Абстрактный дебаркадер

Надо скорее подеанонить всех, пока не закрыли баг

0
Абстрактный дебаркадер
–1
Читать все 44 комментария
null