{"id":1064,"title":"\u041f\u0440\u043e\u0439\u0434\u0438\u0442\u0435 \u044d\u0442\u043e\u0442 \u0442\u0435\u0441\u0442, \u043f\u043e\u043a\u0430 \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u044e \u0438\u0437 \u0435\u0434\u044b \u043d\u0435 \u0437\u0430\u043f\u0440\u0435\u0442\u0438\u043b\u0438","url":"\/redirect?component=advertising&id=1064&url=https:\/\/tjournal.ru\/special\/kaleidofood&placeBit=1&hash=f30606208ead4bb67ee3624f20be3cd7a9b9c0ae8b2bd8a40218541848752d25","isPaidAndBannersEnabled":false}

Разработчик обнаружил возможность читать переписку пользователей «ВКонтакте» через SimilarWeb Статьи редакции

Во «ВКонтакте» заявили, что проблему создали сторонние разработчики, и соцсеть не имеет к ней отношения.

Анонимный CEO-разработчик Yoga2016 рассказал об уязвимости во «ВКонтакте», которая позволяет читать личные сообщения через сервис статистики SimilarWeb. В разговоре с TJ он сообщил, что обращался в поддержку соцсети, но не получил ответа.

SimilarWeb — сервис по получению статистики сайтов и соцсетей из поисковиков, который собирает данные о трафике, самых просматриваемых материалах, популярности в определённых странах.

Как отметил Yoga2016, платная версия SimilarWeb позволяет посмотреть 300 самых популярных материалов конкретного сайта для анализа посещаемости. Он использовал сервис в случае со «ВКонтакте», но получил ссылки на личные сообщения 300 случайных пользователей. По его словам, он получал ссылки на переписки каждые пять дней в течение нескольких недель. TJ не будет прикреплять ссылки на личные страницы с переписками с целью сохранить приватность сообщений.

Вот так выглядит список ссылок на личные сообщения пользователей, который частично замазан из соображений безопасности

Разработчику удалось выгрузить несколько историй переписок пользователей: чтобы посмотреть их, он добавил к адресу из SimilarWeb «.xml». Он прислал несколько ссылок на переписки пользователей, где в строке user указаны id-адреса некоторых из них. Там же можно найти фотографии, пароли и другие личные данные.

Всего в Similarweb выводятся 300 случайных страниц пользователей соцсети, отобранных как «популярные». Неясно, как они отбираются, потому что у некоторых из них около 50 друзей и слабая активность на странице.

Редактор TJ обратился за комментарием к попавшим в SimilarWeb пользователям, после чего увидел своё же сообщение в ссылке из сервиса.

При этом, переписки пересекаются между собой, хотя пользователи никак не связаны и не писали друг другу — это выглядит как общий массив личных сообщений, разбитый на несколько блоков. По мнению Yoga2016, SimilarWeb анализирует не только поисковики, но и браузеры пользователей, чтобы учитывать, куда они чаще всего заходят.

Как рассказал Yoga2016, он подавал заявку в Bounty-программу от «ВКонтакте», где пользователи могут сообщать об уязвимости соцсети и получать за это деньги от разработчиков. По словам разработчика, на его сообщение не отреагировали, а тред с обсуждением этого недочёта вскоре удалили.

TJ рассказали в пресс-службе «ВКонтакте», что уязвимость не связана с проблемой соцсети, а создана разработчиками, которые имеют доступ к API. К примеру, они могут использовать личную переписку в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.

В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.

пресс-служба «ВКонтакте»

В пресс-службе SimilarWeb также пока не ответили на запрос о комментарии.

0
38 комментариев
Популярные
По порядку
Написать комментарий...
Всякий татарин

Редактор TJ увидел своё же сообщение в ссылке из сервиса

Ответить
43
Развернуть ветку
Всякий татарин
Ответить
22
Развернуть ветку
Всякий татарин

Комментарий удален по просьбе пользователя

Ответить
15
Развернуть ветку
Всякий татарин

Комментарий удален по просьбе пользователя

Ответить
38
Развернуть ветку
Всякий татарин

Комментарий удален по просьбе пользователя

Ответить
1
Развернуть ветку
Всякий татарин

Комментарий удален по просьбе пользователя

Ответить
4
Развернуть ветку
Всякий татарин

Ну это мы щас проверим

Ответить
5
Развернуть ветку
Всякий татарин

Дмитрий, прочитайте пожалуйста мою личную переписку.

Ответить
3
Развернуть ветку
Всякий татарин

мне кажется, в наше время нужно на первое место ставить безопасность, а потом только юзабилити.

Ответить
0
Развернуть ветку
Всякий татарин

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Всякий татарин

Просто не надо там делать того, что не надо.

Ответить
1
Развернуть ветку
Всякий татарин

Никто не заставляет делать что-то, кроме прослушивания музыки.

Ответить
0
Развернуть ветку
Всякий татарин

анонимный СЕО-разработчик
Звучит как анонимный алкоголик.

Ответить
8
Развернуть ветку
Всякий татарин

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb
Нахера вообще давать возможность по средствам API читать личную переписку?
Дали такую возможность и удивляются, что ее используют.
Суккка

Ответить
3
Развернуть ветку
Всякий татарин

а как иначе сделать сторонний мессенджер на базе вк?)

Ответить
4
Развернуть ветку
Всякий татарин

Да ясен хер что всех читают и слушаю. Кому не хочется - ставят проги. Остальные как на ладошке. Ничего нового, слушают почти всех как и до этого слушали, про читалово думаю не сильно разниться. Кто в безопасность ударился - тем похуй, для всех других ничего нового.

Ответить
1
Развернуть ветку
Всякий татарин

Комментарий удален по просьбе пользователя

Ответить
10
Развернуть ветку
Всякий татарин

Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте, что тут писалось. Я вполне понимаю, что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальные просто не найдут.

Ответить
21
Развернуть ветку
Всякий татарин

Живёшь в розовом мире без прослушки? Сладко тебе.

Ответить
0
Развернуть ветку
Всякий татарин

Комментарий удален по просьбе пользователя

Ответить
3
Развернуть ветку
Всякий татарин

Курсач по гаданию? Вот смешно, правда)

Ответить
0
Развернуть ветку
Всякий татарин

Господи, блядь, редакция ТЖ, ну консультируйтесь хоть немного с техническими специалистами, у вас же есть разработчики в команде.

Вы написали новость про то, что у VK есть API. Всё, больше ничего вы не написали.
Ну и, разумеется, раздули что-то из ничего. Вообще из ничего. Пользователь даёт стороннему приложению разрешение на доступ к своей информации, где здесь проблема блин?

P.S. Палю инсайд. На эту тему можно хоть год статьи каждый день выкатывать. Только не говорите никому. Ссылка на инсайд: https://vk.com/dev

Ответить
3
Развернуть ветку
Всякий татарин

Блять, если сторонний сервис может плейн текст сообщений выдавать никак не авторизуя заходящего, это же натуральная бага ВК. Причем настолько убогая отмазка, что волосы шевелиться начинают. Откуда я, к примеру, могу знать, что "полный" SimilarWeb не может читать переписку конкретного пользователя? Охуевшие, сука.

Ответить
2
Развернуть ветку
Всякий татарин

Токен в гет параметре. Правда, это мудачество, ня.

Ответить
2
Развернуть ветку
Всякий татарин

Комментарий удален по просьбе пользователя

Ответить
1
Развернуть ветку
Всякий татарин

Сторонние приложения с разрешения пользователя могут читать переписку пользователя. Зачем это? Ты, допустим, хочешь пользоваться неофициальным клиентом под андроид от Васи Пупкина. Ты его установила, авторизовалась и пользуешься. Работает оно через API VK и, естественно, запрашивает твои переписки, чтобы ты могла общаться через это приложение с друзьями. Только вот Вася Пупкин ещё зачем-то твои посты сливает в SimilarWeb. Т.е. это вопрос не твоего доверия VK, а твоего доверия Васе.

Ответить
6
Развернуть ветку
Всякий татарин

Не посты, а запросы. Небось какой нибудь сервис статистики Всего прикрутили и протекло.

Ответить
0
Развернуть ветку
Всякий татарин

Как это блять технически возможно? В плане безопасности такое разрешение в принципе должно быть невозможным

ахахха

Ответить
0
Развернуть ветку
Всякий татарин

бэкдорчик для ФСБ))

Ответить
–1
Развернуть ветку

Комментарий удален

Развернуть ветку
Всякий татарин

А то казалось бы, зачем в ВК нужны ссылки на страницы с перепиской пользователей, которые доступны любому пользователю.

Ответить
0
Развернуть ветку
Всякий татарин

Звучит как реклама SimilarWeb

Ответить
1
Развернуть ветку
Всякий татарин

Скорее, как реклама Телеграма

Ответить
2
Развернуть ветку
Всякий татарин

Не баг, а фича

Ответить
1
Развернуть ветку
Всякий татарин

Комментарий удален по просьбе пользователя

Ответить
1
Развернуть ветку
Всякий татарин

ну не СЕО, а SEO, епт.

Ответить
1
Развернуть ветку
Всякий татарин

анализирует не только поисковики, но и браузеры пользователей
Это типа пользователи себе установили какое-то левое приложение, а оно их переписку читает? Или SimilarWeb это троян?

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку
Всякий татарин

Нативная реклама SimilarWeb?

Ответить
0
Развернуть ветку
Всякий татарин

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Читать все 38 комментариев
null