Рубрика развивается при поддержке
Advertisement

Российские хакеры нашли способ взлома любого аккаунта в Yo Статьи редакции

В минималистичном мессенджере Yo нашли уязвимость, позволяющую получить доступ к аккаунту любого пользователя. Об этом рассказали TJournal двое специалистов по безопасности, обнаруживших брешь в приложении.

Лев Локтионов и Александр Гребенщиков, двое программистов, известных взломами «ВКонтакте», обнаружили критическую уязвимость в мессенджере Yo. Они выяснили, что процедура восстановления доступа к аккаунту в Yo отправляет проверочный код на номер мобильного телефона, однако не проверяет, принадлежит ли он владельцу аккаунта.

Как оказалось, на странице восстановления пароля можно ввести любое имя пользователя и получить ссылку для изменения пароля, введя свой номер телефона. Гребенщиков обнаружил эту уязвимость «методом тыка», а Локтионов придумал, как присваивать аккаунты с помощью панели разработчиков сервиса.

Хакерам удалось отправить сообщения через Yo от чужих аккаунтов — например, YO, DUROV и TJOURNAL. Помимо этого, они получили доступ к личному аккаунту технического директора TJournal Ильи Чекальского и привязанным к нему вспомогательным профилям, после чего TJournal перестал присылать уведомления о новых статьях через Yo.

Вместе с сообщением о взломе Yo хакеры прислали в редакцию TJournal скриншот из панели разработчика, в которую они вошли из-под взломанного аккаунта Чекальского.

Получить доступ к адресной книге Yo хакерам не удалось. Как выяснилось, при повторном логине список контактов не сохраняется. TJournal сообщил представителям Yo о найденной уязвимости, однако не получил оперативного ответа.

Локтионов и Гребенщиков стали известны после взлома страницы Павла Дурова во «ВКонтакте» и эпидемии репостов в соцсети, произошедшей в ноябре 2013 года. При помощи специального приложения во «ВКонтакте» другие пользователи размещали у себя на странице репост записи друга программистов, просто переходя по ссылке в нём.

0
25 комментариев
Популярные
По порядку
Написать комментарий...
Абстрактный дебаркадер

Я в своей провинции до сих по не могу собрать друзей в Secret, а вы тут со своим Yo,

14
Абстрактный дебаркадер

А разве нельзя рассылать "Yo" через любой другой мессенджер? Чем это будет хуже?

1
Абстрактный дебаркадер

Так и секреты можно на заборе и в лифте читать :)

4
Абстрактный дебаркадер

Это будет глупо :/

0
Абстрактный дебаркадер

ДА ЕДРЕНА КАРАКАТИЦА! КТО-НИБУДЬ ПОДУМАЛ О ДЕТЯХ?
СТРАШНО ЖИТЬ! ОСТАНОВИТЕ БЕСПРЕДЕЛ!

12
Абстрактный дебаркадер

Комментарий удален по просьбе пользователя

9
Абстрактный дебаркадер

АНБ уже давно читает переписку пользователей YO.

5
Абстрактный дебаркадер

Уже кто-нибудь разрабатывает безопасный аналог Yo, в котором Yo надёжно шифруются.

9
Абстрактный дебаркадер

Хм, а ведь это идея для стартапа!!!

0
Абстрактный дебаркадер

Ну да, я немного удивился, получив Yo от своего аккаунта.

8
Абстрактный дебаркадер

YO устал, YO ухожу.

7
Абстрактный дебаркадер

Как символично, что я получил Yo от Tj об этой новости

6
Абстрактный дебаркадер

Был бы еще какой нибудь смысл или польза от этого

5
Абстрактный дебаркадер

Взломать аккаунт, чтобы присылать Yo от чужого имени.
Представляю, как пресс-секретарь Медведева сообщает, что Yo Медведева был взломан, и сам Медведев не рассылал Yo.

5
Абстрактный дебаркадер

ага и "Пресс-служба заявляет о недействительности всех последних YO."

0
Абстрактный дебаркадер

Комментарий удален по просьбе пользователя

4
Абстрактный дебаркадер

Ё

2
Абстрактный дебаркадер

О боже, они получили доступ к моему аккаунту yo, и теперь смогут рассылать от моего имени yo кому попало, какой ужас, как жить дальше

0
Абстрактный дебаркадер

Это они научили таки tj отправлять yo подписавшимся?

1
Абстрактный дебаркадер

I told ya

0
Абстрактный дебаркадер

Да, история на самом деле интересная. Дело в том, что я зарегистрировал аккаунт TJOURNAL раньше, чем узнал, что с аккаунтов, зарегистрированных через телефон нельзя рассылать YO через API, а для этого надо регистрировать отдельные сервисные профили. Поэтому написал письмо в Йоу и они привязали аккаунт TJOURNAL к моему профилю в Yo.

Как раз после этого Саша и Лёва решили восстановить пароль на аккаунт TJOURNAL, и, несмотря на то, что этот аккаунт сервисный, у них получилось, после чего по непонятным причинам изменился токен и сломалась рассылка Yo читателям ТЖ.

6
Абстрактный дебаркадер

А можно сделать push-уведомления о новых статьях редакции в самом приложении TJournal?

1
Абстрактный дебаркадер

Сказали, что будет, но позже.

0
Абстрактный дебаркадер

Ну Лёва как всегда, лол.

0
Абстрактный дебаркадер

Ну все теперь, личную переписку скомпрометируют

0
Читать все 25 комментариев
null