[Из песочницы] Уязвимость «ВКонтакте» позволяла получить прямые ссылки на приватные фотографии
tl;dr
Была обнаружена уязвимость в закладках ВК, которая позволяла получать прямые ссылки на приватные фотографии из личных сообщений, альбомов любого пользователя/группы. Был написан скрипт, который перебирал фотографии пользователя за определенный период и затем, через эту уязвимость получал прямые ссылки на изображения. Если коротко, то: можно было за 1 минуту получить все ваши вчерашние фотографии, за 7 минут — все фото, загруженные на прошлой неделе, за 20 минут — прошлый месяц, за 2 часа — прошлый год. Уязвимость на данный момент исправлена. Администрация ВКонтакте выплатила вознаграждение в 10к голосов.
История началась с того, как мне в личку во «Вконтакте» кинули изображение. Обычно, если вещь важная, я её загружаю в облако, но в моём случае в этом не было необходимости, и я решил воспользоваться функцией закладок «Вконтакте».
Читать дальше →
Источник: Хабрахабр
Похожие новости
- [Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов
- Как мы строим real-time data-пайплайны для анонимных крипто-свапалок: опыт на примере risetocrypto
- [Перевод] Ай! Не туда! Как злоупотреблять симлинками и повышать привилегии (LPE-шиться) в Windows
- Шифрование скриптов
- Vaultwarden: как я поднял свой менеджер паролей и перестал беспокоиться?
- BGGP3: Хороший тамада и конкурсы интересные
- IP-телефония в России: запрет или новые правила? Разбираемся
- Что остаётся после нас в онлайне — и как с этим быть
- Android. Кража данных через клавиатуру: миф или реальность?
- Spark_news: Продолжается рост закупок госкомпаний у самозанятых