Школьник из Мончегорска обнаружил критическую уязвимость во «ВКонтакте», пока готовился к ЕГЭ
За это соцсеть выплатила ему денежное вознаграждение, а университет ИТМО позвал на бесплатное обучение.
Илья Глебов. Фото ITMO.NEWS
Во время подготовки к ЕГЭ по информатике, 17-летний Илья Глебов случайно обнаружил уязвимость во «ВКонтакте» и мессенджере ICQ, которая позволяла получить доступ к любому аккаунту без двухфакторного входа. Он сообщил о проблеме разработчикам и сначала получил 3 тысячи долларов (около 176 тысяч рублей), а затем место в университете ИТМО. Об этом сообщает портал вуза ITMO.NEWS.
По словам Глебова, он был занят подготовкой к экзамену по информатике, когда наткнулся на статью 2016 года, в которой говорилось, как взламывать профили на Facebook.
Всё произошло, когда я готовился к ЕГЭ по информатике. Там была задача под номером 27. В ней было очень много параметров, надо было пробовать, перебирать. И мне так надоело это делать, что я просто решил отвлечься и что-нибудь почитать. Наткнулся на статью об уязвимости в Facebook и решил попробовать этот способ на ВК.
Суть уязвимости на Facebook сводилась к перебору кодов восстановления на тестовом домене соцсети. Глебов из любопытства решил попробовать этот же метод во «ВКонтакте». Найденная уязвимость работала с большинством страниц российской соцсети. Исключение составляли лишь те пользователи, которые настроили двухфакторную аутентификацию (вход по коду или смс).
Пойти по пути Фейсбука у Глебова не вышло. Суть уязвимости, которую он нашёл во «ВКонтакте», сводилась к тому, что соцсеть давала за одну сессию восстановления пароля отправлять смс с кодами на любые номера. Таким образом один пользователь мог получить доступ к странице любого другого пользователя, если знал номер телефона, привязанный к профилю. Один и тот же код приходил на разные телефонные номера.
Для обнаружения уязвимости Глебову пришлось сделать реверс-инжиниринг приложения «ВКонтакте» для Android, написать небольшую программу на C# и изучить HTTP-запросы, которыми обмениваются мобильный клиент и сервера соцсети.
По словам тинейджера, сразу после обнаружения уязвимости он сообщил об этом разработчикам через платформу для поиска багов HackerOne. Спустя 17 часов проблему устранили, а через несколько дней «ВКонтакте» выплатила Глебову 2 тысячи долларов.
На этом он не остановился и протестировал на ту же уязвимость мессенджер ICQ — там она тоже сработала. За сообщение об этом ему доплатили ещё тысячу долларов.
Эту задачу я делал где-то в течение двух дней, хотя по общему времени она заняла часа четыре. Я примерно знаю, как работает «ВКонтакте», поэтому проверить эту мысль было достаточно просто. Хотя это, конечно, не первый раз, когда я пытался проверить что-либо на уязвимость. На HackerOne есть несколько отчетов.
По словам Глебова, ещё до способа взлома аккаунтов через смс-коды, он нашёл другую уязвимость во «ВКонтакте», которая касается приватных данных, но пока не может сообщить о ней подробности.
В разговоре с ITMO.NEWS молодой человек рассказал, что пока не собирается тратить заработанные деньги, потому что «до 18 лет не сможет зарегистрировать себе Paypal-аккаунт».
В итоге ЕГЭ по информатике Глебов написал на 97 баллов, а остальные предметы — «не так успешно». По его словам, в экзамене по математике он сделал глупые ошибки. Весной Глебов закончил гимназию в Мончегорске — небольшом городе Мурманской области с населением около 40 тысяч человек.
На вопрос о том, на кого он равняется и куда будет поступать, Глебов ответил, что ему «по многим вопросам близка позиция Павла Дурова», а свою жизнь он хочет связать с информационной безопасностью.
Я просто хочу, чтобы информация людей была хорошо защищена, чтобы не случалось хакерских атак, да и в целом чтобы люди спали спокойно. Документы я подавал в пять разных вузов, но приоритетом является Университет ИТМО, потому что это действительно один из сильнейших IT-вузов. Хотелось бы пройти, но посмотрим, как получится.
После интервью с ITMO.NEWS, Глебов встретился с деканом факультета информационной безопасности и компьютерных технологий ИТМО Данилом Заколдаевым. Тинейджер успешно прошёл собеседование и проверку знаний, после чего ему предложили обучаться в университете на бюджетной основе по программе «Технологии защиты информации».
В университете рассчитывают, что Глебов выдержит нагрузку в первый год обучения и сможет «раскрыть свои таланты в области информационной безопасности». Как сообщил Заколдаев, внимание на тинейджера ИТМО обратил после публикации «на серьёзном интернет-ресурсе, где специалисты в области IT общаются и делятся опытом».
#вконтакте #технологии