Украинские студенты благодаря багу «ВКонтакте» научились вычислять админов сообществ соцсети Статьи редакции

Студент киевского Политехнического института (КПИ) на основе обнаруженного во «ВКонтакте» бага разработал утилиту, позволяющую установить администратора любого из сообществ соцсети. Ссылка на программу 29 октября появилась в группе «КПИ live».

Утилита, которая получила название «Срыватель покровов», работает на основе API «ВКонтакте». Для того, чтобы получить ссылку на профиль администратора того или иного паблика, достаточно скопировать адрес сообщества в поисковую строку и нажать кнопку «Сорвать покровы».

После этого программа показывает страницу или страницы тех, кто руководит публикацией записей в указанной группе. Рядом с ссылками отображаются также репосты из сообщества, благодаря которым удалось установить личность админа. Если репосты в группе отсутствуют, «Срыватель покровов» не работает.

Баг при репостах, который лёг в основу утилиты, был обнаружен 28 октября другим студентом киевского политеха Владиславом Белогородским.

Как сообщил в своём блоге Белогородский, узнать имя опубликовавшего репост админа можно во всплывающем окне с аватарками тех, кому понравилась запись.

В случае с оригинальными публикациями в группах в таком окне отображается стандартный текст со словами «Оценили запись сообщества». Однако, когда речь идёт о репосте, список поставивших «лайк» сохраняет привязку к имени того, кто опубликовал его в паблике.

По словам автора утилиты, созданная им программа «пока работает не всегда правильно» и иногда выдаёт за администратора не связанного с сообществом человека. На некорректное отображение админов жалуются в комментариях и некоторых из опробовавших её пользователей. Проверка, проведённая TJournal, показала, что «Срыватель покровов» работает корректно.

Один из пользователей также заметил, что обнаруженный в соцсети баг на самом деле не является ошибкой, существует уже несколько лет и связан с особенностями кода функции wall.getReposts, «возвращающего список всех, кто репостнул».

Пресс-секретарь «ВКонтакте» Георгий Лобушкин сообщил TJournal, что обнаруженный украинскими студентами способ установки личностей админов не является багом. По словам Лобушкина, в настоящее время сотрудники ресурса изучают указанную «недокументированную фичу».

Это не баг, потому что с уверенностью определить администратора, репостнувшего запись, невозможно. Но спасибо автору за наводку, наши специалисты уже изучают эту недокументированную фичу. Георгий Лобушкин

{ "author_name": "Виктор Степанов", "author_type": "self", "tags": ["\u0441\u043e\u0446\u0441\u0435\u0442\u0438","\u0441\u043e\u043e\u0431\u0449\u0435\u0441\u0442\u0432\u0430_\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u043a\u0430\u043a_\u0443\u0437\u043d\u0430\u0442\u044c_\u0430\u0434\u043c\u0438\u043d\u0430_\u0441\u043e\u043e\u0431\u0449\u0435\u0441\u0442\u0432\u0430_\u0432\u043e_\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0433\u0435\u043e\u0440\u0433\u0438\u0439_\u043b\u043e\u0431\u0443\u0448\u043a\u0438\u043d","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0431\u0430\u0433_\u043f\u0440\u0438_\u0440\u0435\u043f\u043e\u0441\u0442\u0435_\u0437\u0430\u043f\u0438\u0441\u0435\u0439_\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0431\u0430\u0433\u0438_\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u044b_\u0441\u043e\u043e\u0431\u0449\u0435\u0441\u0442\u0432_\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435"], "comments": 43, "likes": 31, "favorites": 1, "is_advertisement": false, "subsite_label": "internet", "id": 52850, "is_wide": true, "is_ugc": true, "date": "Wed, 29 Oct 2014 11:14:19 +0300", "is_special": false }
0
43 комментария
Популярные
По порядку
Написать комментарий...

Вторичный Мика

22

Это не баг, а фича.

Ответить

Полезный дебаркадер

Интригатор.
48
Ответить

Будущий диод

Anton
8

А как же "вычислить по ip"?

Ответить

Приятный кран

20

Бендеровцы, одним словом.

Ответить

Любовный единорожек88

kiselevde
25
Ответить

Вторичный Мика

kiselevde
3

Бандера прийде — порядок наведе.

Ответить

Лишний клуб

Интригатор.
0

порялюлк же.

Ответить

Полезный дебаркадер

3

Не думал, что увижу имя бывшего соседа по этажу на тж :|

Ответить

Участковый Петя

2

Давно уже эту особенность API люди используют, думая, что это просто фича и тут каким-то скрипт кидисам захотелось повыпендриваться.

Ответить

Крепкий якорь

Eduard
1

Я помню, что можно было вычислить id пользователя загрузившего фото от имени паблика, но эту вещь исправили.

Ответить

Поперечный историк

2

Ржали всем отделом.
Отделом "Э"

Ответить

Авторский яд

2

Всегда было интересно найти странички админов некоторых групп/пабликов.
Нашёл.
Не знаешь, что делать дальше.

Ответить

Здравый Мика

Антон
0

Как что? Шантажировать, например.

Ответить

Ежегодный шар

1

Когда прочитал про эту фишку, решил сам поковырять api на наличие других изъянов. Через 10 минут поисков обнаружил, что wall.getById выдает автора поста опубликованного анонимно в группе типа Подслушано, если он отправлен через "Предложить новость".
Написал в тех. поддержку, они за пять часов не ответили, но все закрыли к херам :с Успел только в местном подслушано улицезреть авторов постов a'la "где недорого сделать аборт", "мне нравится парень в синей куртке и леггинсах" и "кто хочет с двумя притяными парнями покататься на машине вечером". Зрелище не из приятных, но факт того, что анонимность по сути отсутсвовала в группе, где она является основной фичей не радует.

Ответить

Официальный мангал

1

Живи
Люби
КПИ
^_^

Ответить

Ответный череп

0

Чтобы что?

Ответить

Здравый Мика

For
9

Галина?

Ответить

Комментарий удален

Экспертный спрей

Vadim
0

Ну мы ведём сообщество из под своих аккаунтов, например.
Но в контактах указан аккаунт, который не делает репостов, например.

Но сервис выдал всего две записи, которые мы удалили. Теперь он репостов не показывает.

Ответить

Ручной алмаз

0

Лень проверять кто там админит rkn?

Ответить

Управляющий пришелец

Ручной
4

Хитрые бестии не делают репостов. Видимо, знают.

Ответить

Экспертный спрей

Ручной
0

Там фейковая страница её ведёт. Я находил её, но она пустая.

Ответить

Партийный лолипоп

Андрей
5

Комментарий удален по просьбе пользователя

Ответить

Лишний клуб

0

Скифча в чём провинился?

Ответить

Крепкий якорь

Slow
0

Потому что котик и он через ВК стал популярным.

Ответить

Санитарный ГОСТ

0

А разве парсить админов нельзя через вкбот?

Ответить

Стабильный звук

Денис
0

Нет.

Ответить

Санитарный ГОСТ

fgj
4

А кого тогда я парсил?

Ответить

Раненый Валера

Денис
6

Не админов, очевидно же.

Ответить

Хороший Никита

Денис
0

Если вы не знаете значение слова "парсить", так хоть не позорьтесь, чтоли.

Ответить

Целевой вентилятор

0

Добавил в закладки "Срыватель покровов"

Ответить

Правительственный микрофон

0

Не работает нифига.

Ответить

Прохожий цветок

Oldfag
0

вводиь нужно только id группы или паблика.
если нет репостов-то не работает

Ответить

Половый звук

0

И зафиг это нужно?

Ответить

Маленький Петя

0

Уже не работает

Ответить

Почтовый украинец

0

Комментарий удален по просьбе пользователя

Ответить

Здравый Мика

DELETED
1

Не пались, да не опалён будешь.

Ответить

Комментарий удален

Предельный Филипп

Муозов
0

Не ходите - там мой брат

Ответить

Необычный глобус

0

Ну чё там, Гуфовский таки админит Батю?

Ответить

Волшебный Денис

0

Эх.

Ответить

Японский единорожек88

0

Еще год назад в адовой группе "подслушано %мой_вуз_нейм%" нашел админа. Просто заметил такую особенность, что если получить прямую ссылку на аватарку группы, то можно заметить, что три последние цифры id картинки совпадают с id страницы, с которой разместили аватар. Ну а дальше просто заходим в поиск по подписчикам и листаем вниз, потом сохраняем страницу и открываем блокнотом. В блокноте ходим поиском по последним трем цифрам id. Понятное дело, что способ работает, если людей в группе не так уж и много.

Да и вообще глупо скрывать что-либо в соц.сети имея реальный аккаунт.

Ответить

Музыкальный коктейль

Denis
0

>сохраняем страницу и открываем блокнотом

А не проще открыть исходник сразу в браузере?

Ответить

Японский единорожек88

Роман
0

Можно и так, только у меня тогда браузер рефрешил страницу при открытии исходного кода. Сейчас уже не могу сказать почему так происходило

Ответить

Замечательный франт

0

Надо скорее подеанонить всех, пока не закрыли баг

Ответить

Стройный диод

–1
Ответить
Обсуждаемое
Новости
Госдеп США осудил действия силовиков во время протестов 23 января и потребовал освободить Навального
Глава МИД Великобритании призвал правительство РФ «уважать международные договоренности».
Новости
В России стартовали акции в поддержку Навального: в 25 городах задержали 170 человек
Во Владивостоке на акцию пришёл Юрий Дудь, в Якутске люди вышли в 50-градусный мороз.
Новости
Контрактник Росгвардии посмеялся над женщиной, получившей от омоновца удар в живот. Депутат заявил об его увольнении
«***** [не надо] стоять у нас на пути», — так силовик прокомментировал видео с 54-летней женщиной.
Популярное за три дня
Новости
Женщину увезли в медпункт.
Петербург
В Петербурге задержали главреда TJ сразу после выхода из метро
Апдейт: к вечеру Сергея Звезду отпустили, ему грозит штраф.
Разборы
Геленджик без аквадискотеки: в городе моются по графику и делают запасы с канистрами
Как жители курорта, на котором стоит «дворец Путина», остались без стабильного водоснабжения.

Комментарии

null