Анонимный разработчик Yoga2016 рассказал об уязвимости «ВКонтакте», которая позволяет читать переписку пользователей с помощью сервиса аналитики сайтов SimilarWeb. Программист сообщил TJ, что он подавал заявку в Bounty-программу от соцсети, где можно рассказывать об уязвимости ВК и получать за это вознаграждение. Однако на его сообщение не отреагировали, а тред с обсуждением инцидента удалили, добавил разработчик.
По словам Yoga2016, платная версия сервиса позволяет посмотреть 300 самых популярных материалов конкретного сайта для анализа посещаемости. Однако вместо 300 страниц он получил ссылки на переписки 300 случайных пользователей. Он также отметил, что получал на них ссылки каждые 5 дней в течение нескольких недель. Вместе с личными сообщениями были указаны пароли и другие личные данные.
Пресс-служба «ВКонтакте» ответила порталу, что уязвимость не связана с проблемой соцсети, а создана разработчиками, у которых есть доступ к API. Например, они могут использовать личную переписку в альтернативных клиентах для мессенджера ВК с разрешения пользователей. «В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей», - добавили представители «ВКонтакте».
Добавить 2 комментария
Интересно. А как Similarweb получает такие данные?
Если он их получает от каких-то браузерных расширений, которые тащат всё до чего могут дотянуться, то вопрос, откуда в этих браузерах такие урлы с токенами для доступа к API?
То есть, это не выглядит как браузер однозначно.
Получать от какого-то мессенджера урлы — тоже странно.
Скорее выглядит, как урлы получаемые от каких-то провайдеров, но тогда эти провайдеры, как я понимаю, должны использовать MITM-атаку для того, чтобы видеть какой урл запрашивает их клиент.
Дальше мысль у меня останавливается.
Оказалось проще.
Данные сливают приложения типа Hola