Разработчик обнаружил возможность читать переписку пользователей «ВКонтакте» через SimilarWeb

Во «ВКонтакте» заявили, что проблему создали сторонние разработчики, и соцсеть не имеет к ней отношения.

В закладки

Продолжение: «ВКонтакте» объяснила утечку личных сообщений пользователей работой «ненадёжных VPN-сервисов».

Анонимный CEO-разработчик Yoga2016 рассказал об уязвимости во «ВКонтакте», которая позволяет читать личные сообщения через сервис статистики SimilarWeb. В разговоре с TJ он сообщил, что обращался в поддержку соцсети, но не получил ответа.

SimilarWeb — сервис по получению статистики сайтов и соцсетей из поисковиков, который собирает данные о трафике, самых просматриваемых материалах, популярности в определённых странах.

Как отметил Yoga2016, платная версия SimilarWeb позволяет посмотреть 300 самых популярных материалов конкретного сайта для анализа посещаемости. Он использовал сервис в случае со «ВКонтакте», но получил ссылки на личные сообщения 300 случайных пользователей. По его словам, он получал ссылки на переписки каждые пять дней в течение нескольких недель. TJ не будет прикреплять ссылки на личные страницы с переписками с целью сохранить приватность сообщений.

Вот так выглядит список ссылок на личные сообщения пользователей, который частично замазан из соображений безопасности

Разработчику удалось выгрузить несколько историй переписок пользователей: чтобы посмотреть их, он добавил к адресу из SimilarWeb «.xml». Он прислал несколько ссылок на переписки пользователей, где в строке user указаны id-адреса некоторых из них. Там же можно найти фотографии, пароли и другие личные данные.

Всего в Similarweb выводятся 300 случайных страниц пользователей соцсети, отобранных как «популярные». Неясно, как они отбираются, потому что у некоторых из них около 50 друзей и слабая активность на странице.

Редактор TJ обратился за комментарием к попавшим в SimilarWeb пользователям, после чего увидел своё же сообщение в ссылке из сервиса.

При этом, переписки пересекаются между собой, хотя пользователи никак не связаны и не писали друг другу — это выглядит как общий массив личных сообщений, разбитый на несколько блоков. По мнению Yoga2016, SimilarWeb анализирует не только поисковики, но и браузеры пользователей, чтобы учитывать, куда они чаще всего заходят.

Как рассказал Yoga2016, он подавал заявку в Bounty-программу от «ВКонтакте», где пользователи могут сообщать об уязвимости соцсети и получать за это деньги от разработчиков. По словам разработчика, на его сообщение не отреагировали, а тред с обсуждением этого недочёта вскоре удалили.

TJ рассказали в пресс-службе «ВКонтакте», что уязвимость не связана с проблемой соцсети, а создана разработчиками, которые имеют доступ к API. К примеру, они могут использовать личную переписку в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.

В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.

пресс-служба «ВКонтакте»

В пресс-службе SimilarWeb также пока не ответили на запрос о комментарии.

#соцсети #хакеры #вконтакте

Статьи по теме
«ВКонтакте» объяснила утечку личных сообщений пользователей работой «ненадёжных VPN-сервисов»
{ "author_name": "Николай Чумаков", "author_type": "editor", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u0441\u043e\u0446\u0441\u0435\u0442\u0438","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435"], "comments": 38, "likes": 88, "favorites": 8, "is_advertisement": false, "subsite_label": "internet", "id": 67265, "is_wide": false, "is_ugc": false, "date": "Tue, 06 Mar 2018 20:19:04 +0300" }
Комментарии

Несчастный огонь

8

анонимный СЕО-разработчик

Звучит как анонимный алкоголик.

Немецкий франт

3

Господи, блядь, редакция ТЖ, ну консультируйтесь хоть немного с техническими специалистами, у вас же есть разработчики в команде.

Вы написали новость про то, что у VK есть API. Всё, больше ничего вы не написали.
Ну и, разумеется, раздули что-то из ничего. Вообще из ничего. Пользователь даёт стороннему приложению разрешение на доступ к своей информации, где здесь проблема блин?

P.S. Палю инсайд. На эту тему можно хоть год статьи каждый день выкатывать. Только не говорите никому. Ссылка на инсайд: https://vk.com/dev

Немыслимый парфюмер

2

Блять, если сторонний сервис может плейн текст сообщений выдавать никак не авторизуя заходящего, это же натуральная бага ВК. Причем настолько убогая отмазка, что волосы шевелиться начинают. Откуда я, к примеру, могу знать, что "полный" SimilarWeb не может читать переписку конкретного пользователя? Охуевшие, сука.

Интернет
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]
Действительно важные push-уведомления
Подписаться на push-уведомления