iPhone 13 Pro уже в продаже
Пространство возможностей
ООО «Портативная техника», юр.адрес: 190031, Санкт-Петербург, наб. реки Фонтанки, д.109, литер А, пом. 13Н, ОГРН № 1057811930296
{"id":814,"title":"\u041a\u043e\u043d\u043a\u0443\u0440\u0441: \u0434\u043e 20 \u0442\u044b\u0441\u044f\u0447 \u0440\u0443\u0431\u043b\u0435\u0439 \u043d\u0430 \u043f\u043e\u043a\u0443\u043f\u043a\u0438 \u0432 Ozon \u0437\u0430 \u0444\u043e\u0442\u043e","url":"\/redirect?component=advertising&id=814&url=https:\/\/tjournal.ru\/promo\/434403-ozon-provodit-konkurs-mozhno-vyigrat-do-20-tysyach-rubley-na-shoping&placeBit=1&hash=6735fc658b491e5df07c585d0a49ce1c1c50c4922600cfea7c7ff274297c994d","isPaidAndBannersEnabled":false}

Разработчик обнаружил возможность читать переписку пользователей «ВКонтакте» через SimilarWeb Статьи редакции

Во «ВКонтакте» заявили, что проблему создали сторонние разработчики, и соцсеть не имеет к ней отношения.

Анонимный CEO-разработчик Yoga2016 рассказал об уязвимости во «ВКонтакте», которая позволяет читать личные сообщения через сервис статистики SimilarWeb. В разговоре с TJ он сообщил, что обращался в поддержку соцсети, но не получил ответа.

SimilarWeb — сервис по получению статистики сайтов и соцсетей из поисковиков, который собирает данные о трафике, самых просматриваемых материалах, популярности в определённых странах.

Как отметил Yoga2016, платная версия SimilarWeb позволяет посмотреть 300 самых популярных материалов конкретного сайта для анализа посещаемости. Он использовал сервис в случае со «ВКонтакте», но получил ссылки на личные сообщения 300 случайных пользователей. По его словам, он получал ссылки на переписки каждые пять дней в течение нескольких недель. TJ не будет прикреплять ссылки на личные страницы с переписками с целью сохранить приватность сообщений.

Вот так выглядит список ссылок на личные сообщения пользователей, который частично замазан из соображений безопасности

Разработчику удалось выгрузить несколько историй переписок пользователей: чтобы посмотреть их, он добавил к адресу из SimilarWeb «.xml». Он прислал несколько ссылок на переписки пользователей, где в строке user указаны id-адреса некоторых из них. Там же можно найти фотографии, пароли и другие личные данные.

Всего в Similarweb выводятся 300 случайных страниц пользователей соцсети, отобранных как «популярные». Неясно, как они отбираются, потому что у некоторых из них около 50 друзей и слабая активность на странице.

Редактор TJ обратился за комментарием к попавшим в SimilarWeb пользователям, после чего увидел своё же сообщение в ссылке из сервиса.

При этом, переписки пересекаются между собой, хотя пользователи никак не связаны и не писали друг другу — это выглядит как общий массив личных сообщений, разбитый на несколько блоков. По мнению Yoga2016, SimilarWeb анализирует не только поисковики, но и браузеры пользователей, чтобы учитывать, куда они чаще всего заходят.

Как рассказал Yoga2016, он подавал заявку в Bounty-программу от «ВКонтакте», где пользователи могут сообщать об уязвимости соцсети и получать за это деньги от разработчиков. По словам разработчика, на его сообщение не отреагировали, а тред с обсуждением этого недочёта вскоре удалили.

TJ рассказали в пресс-службе «ВКонтакте», что уязвимость не связана с проблемой соцсети, а создана разработчиками, которые имеют доступ к API. К примеру, они могут использовать личную переписку в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.

В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.

пресс-служба «ВКонтакте»

В пресс-службе SimilarWeb также пока не ответили на запрос о комментарии.

{ "author_name": "Николай Чумаков", "author_type": "editor", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u0441\u043e\u0446\u0441\u0435\u0442\u0438","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435"], "comments": 38, "likes": 88, "favorites": 8, "is_advertisement": false, "subsite_label": "internet", "id": 67265, "is_wide": true, "is_ugc": false, "date": "Tue, 06 Mar 2018 20:19:04 +0300", "is_special": false }
0
38 комментариев
Популярные
По порядку
Написать комментарий...
Интеллектуальный лолипоп

Редактор TJ увидел своё же сообщение в ссылке из сервиса

43
Чистый паук например
22
Промежуточный якорь

Комментарий удален по просьбе пользователя

15
Позитивный блик

Комментарий удален по просьбе пользователя

38
Промежуточный якорь

Комментарий удален по просьбе пользователя

1
Позитивный блик

Комментарий удален по просьбе пользователя

4
Внимательный супер_стар

Ну это мы щас проверим

5
Безумный торшер

Дмитрий, прочитайте пожалуйста мою личную переписку.

3
Свежий Орзэмэс

мне кажется, в наше время нужно на первое место ставить безопасность, а потом только юзабилити.

0
Позитивный блик

Комментарий удален по просьбе пользователя

0
Мировой единорожек88

Просто не надо там делать того, что не надо.

1
Кадровый вентилятор

Никто не заставляет делать что-то, кроме прослушивания музыки.

0
Парижский единорожек88

анонимный СЕО-разработчик

Звучит как анонимный алкоголик.

8
Абсолютный чувак

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb

Нахера вообще давать возможность по средствам API читать личную переписку?
Дали такую возможность и удивляются, что ее используют.
Суккка

3
Вероятный глобус

а как иначе сделать сторонний мессенджер на базе вк?)

4
Всеобщий паук например

Да ясен хер что всех читают и слушаю. Кому не хочется - ставят проги. Остальные как на ладошке. Ничего нового, слушают почти всех как и до этого слушали, про читалово думаю не сильно разниться. Кто в безопасность ударился - тем похуй, для всех других ничего нового.

1
Промежуточный якорь

Комментарий удален по просьбе пользователя

10
Итальянский кавалер

Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте, что тут писалось. Я вполне понимаю, что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальные просто не найдут.

21
Всеобщий паук например

Живёшь в розовом мире без прослушки? Сладко тебе.

0
Промежуточный якорь

Комментарий удален по просьбе пользователя

3
Всеобщий паук например

Курсач по гаданию? Вот смешно, правда)

0
Персональный ключ

Господи, блядь, редакция ТЖ, ну консультируйтесь хоть немного с техническими специалистами, у вас же есть разработчики в команде.

Вы написали новость про то, что у VK есть API. Всё, больше ничего вы не написали.
Ну и, разумеется, раздули что-то из ничего. Вообще из ничего. Пользователь даёт стороннему приложению разрешение на доступ к своей информации, где здесь проблема блин?

P.S. Палю инсайд. На эту тему можно хоть год статьи каждый день выкатывать. Только не говорите никому. Ссылка на инсайд: https://vk.com/dev

3
Остальной фонарь

Блять, если сторонний сервис может плейн текст сообщений выдавать никак не авторизуя заходящего, это же натуральная бага ВК. Причем настолько убогая отмазка, что волосы шевелиться начинают. Откуда я, к примеру, могу знать, что "полный" SimilarWeb не может читать переписку конкретного пользователя? Охуевшие, сука.

2
Обычный дым

Токен в гет параметре. Правда, это мудачество, ня.

2
Влажный шмель

Комментарий удален по просьбе пользователя

1
Итальянский кавалер

Сторонние приложения с разрешения пользователя могут читать переписку пользователя. Зачем это? Ты, допустим, хочешь пользоваться неофициальным клиентом под андроид от Васи Пупкина. Ты его установила, авторизовалась и пользуешься. Работает оно через API VK и, естественно, запрашивает твои переписки, чтобы ты могла общаться через это приложение с друзьями. Только вот Вася Пупкин ещё зачем-то твои посты сливает в SimilarWeb. Т.е. это вопрос не твоего доверия VK, а твоего доверия Васе.

6
Обычный дым

Не посты, а запросы. Небось какой нибудь сервис статистики Всего прикрутили и протекло.

0
Персональный ключ

Как это блять технически возможно? В плане безопасности такое разрешение в принципе должно быть невозможным

ахахха

0
Крохотный супер_стар

бэкдорчик для ФСБ))

–1

Комментарий удален

Органический кот

А то казалось бы, зачем в ВК нужны ссылки на страницы с перепиской пользователей, которые доступны любому пользователю.

0
Старший коктейль

Звучит как реклама SimilarWeb

1
Бесплатный пёс_анон

Скорее, как реклама Телеграма

2
Коричневый американец

Не баг, а фича

1
Отрицательный волк

Комментарий удален по просьбе пользователя

1
Финансовый кран

ну не СЕО, а SEO, епт.

1
Ровный диод

анализирует не только поисковики, но и браузеры пользователей

Это типа пользователи себе установили какое-то левое приложение, а оно их переписку читает? Или SimilarWeb это троян?

0

Комментарий удален

Воинский шмель

Нативная реклама SimilarWeb?

0
Фундаментальный дебаркадер

Комментарий удален по просьбе пользователя

0
Читать все 38 комментариев
Обсуждаемое
Новости
«Отрубание рук крайне необходимо для безопасности»: талибы возобновят телесные наказания в Афганистане
При этом они пока не решили, будут ли наказания публичными.
Разборы
«Мы застрянем на USB-C навсегда?»: доводы «за» и «против» решения Евросоюза ввести единый разъём для всех смартфонов
Пока одни потребители считают, что стандарт сделает использование устройств удобнее, другие уверены, что такая мера затормозит инновации.
Новости
Власти Китая призвали создателей мультфильмов отказаться от «нездорового» контента
Они должны продвигать в продукции «правду, добро и красоту».
Популярное за три дня
Спорт
Английский футбольный клуб поддержал юного болельщика с ДЦП после травли в соцсетях. Игроки даже отпраздновали с ним гол
Вратарь-подросток получил собственный профиль на сайте «Фулхэма», встречу с игроками, форму с автографами и незабываемые впечатления от игры.
Наука
На юге США нашли следы человека возрастом 23 тысячи лет — это противоречит теориям заселения Америки
Считалось, что люди пришли в эти места как минимум на семь тысяч лет позже.
Новости
«Дядя Вова, мы с тобой», драка и ёршики: в Москве прошла акция КПРФ против результатов выборов в Госдуму
Представители партии потребовали привлечь к уголовной ответственности Алексея Венедиктова, а полиция пыталась заглушить протестующих песнями.
null