Интернет
Николай Чумаков

Разработчик обнаружил возможность читать переписку пользователей «ВКонтакте» через SimilarWeb

Во «ВКонтакте» заявили, что проблему создали сторонние разработчики, и соцсеть не имеет к ней отношения.

Анонимный CEO-разработчик Yoga2016 рассказал об уязвимости во «ВКонтакте», которая позволяет читать личные сообщения через сервис статистики SimilarWeb. В разговоре с TJ он сообщил, что обращался в поддержку соцсети, но не получил ответа.

SimilarWeb — сервис по получению статистики сайтов и соцсетей из поисковиков, который собирает данные о трафике, самых просматриваемых материалах, популярности в определённых странах.

Как отметил Yoga2016, платная версия SimilarWeb позволяет посмотреть 300 самых популярных материалов конкретного сайта для анализа посещаемости. Он использовал сервис в случае со «ВКонтакте», но получил ссылки на личные сообщения 300 случайных пользователей. По его словам, он получал ссылки на переписки каждые пять дней в течение нескольких недель. TJ не будет прикреплять ссылки на личные страницы с переписками с целью сохранить приватность сообщений.

Вот так выглядит список ссылок на личные сообщения пользователей, который частично замазан из соображений безопасности

Разработчику удалось выгрузить несколько историй переписок пользователей: чтобы посмотреть их, он добавил к адресу из SimilarWeb «.xml». Он прислал несколько ссылок на переписки пользователей, где в строке user указаны id-адреса некоторых из них. Там же можно найти фотографии, пароли и другие личные данные.

Всего в Similarweb выводятся 300 случайных страниц пользователей соцсети, отобранных как «популярные». Неясно, как они отбираются, потому что у некоторых из них около 50 друзей и слабая активность на странице.

Редактор TJ обратился за комментарием к попавшим в SimilarWeb пользователям, после чего увидел своё же сообщение в ссылке из сервиса.

При этом, переписки пересекаются между собой, хотя пользователи никак не связаны и не писали друг другу — это выглядит как общий массив личных сообщений, разбитый на несколько блоков. По мнению Yoga2016, SimilarWeb анализирует не только поисковики, но и браузеры пользователей, чтобы учитывать, куда они чаще всего заходят.

Как рассказал Yoga2016, он подавал заявку в Bounty-программу от «ВКонтакте», где пользователи могут сообщать об уязвимости соцсети и получать за это деньги от разработчиков. По словам разработчика, на его сообщение не отреагировали, а тред с обсуждением этого недочёта вскоре удалили.

TJ рассказали в пресс-службе «ВКонтакте», что уязвимость не связана с проблемой соцсети, а создана разработчиками, которые имеют доступ к API. К примеру, они могут использовать личную переписку в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.

В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.

пресс-служба «ВКонтакте»

В пресс-службе SimilarWeb также пока не ответили на запрос о комментарии.

#соцсети #хакеры #вконтакте