Разработчик рассказал, как получил доступ к переписке пользователей «ВКонтакте» через SimilarWeb
Анонимный разработчик Yoga2016 рассказал об уязвимости «ВКонтакте», которая позволяет читать переписку пользователей с помощью сервиса аналитики сайтов SimilarWeb. Программист сообщил TJ, что он подавал заявку в Bounty-программу от соцсети, где можно рассказывать об уязвимости ВК и получать за это вознаграждение. Однако на его сообщение не отреагировали, а тред с обсуждением инцидента удалили, добавил разработчик.
По словам Yoga2016, платная версия сервиса позволяет посмотреть 300 самых популярных материалов конкретного сайта для анализа посещаемости. Однако вместо 300 страниц он получил ссылки на переписки 300 случайных пользователей. Он также отметил, что получал на них ссылки каждые 5 дней в течение нескольких недель. Вместе с личными сообщениями были указаны пароли и другие личные данные.
Пресс-служба «ВКонтакте» ответила порталу, что уязвимость не связана с проблемой соцсети, а создана разработчиками, у которых есть доступ к API. Например, они могут использовать личную переписку в альтернативных клиентах для мессенджера ВК с разрешения пользователей. «В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей», - добавили представители «ВКонтакте».
1 комментарий | Подписаться на комментарии | Комментировать
Источник: Roem.ru
Похожие новости
- Как мессенджеры шифруют сообщения (end-to-end) на самом деле
- Безопасная сборка Docker-образов в CI: пошаговая инструкция
- Доказательный маркетинг©: научный подход, который работает
- Слил $800 на CEX, поднял $2000 на DEX — реальный опыт копитрейдинга в Solana
- Digital-издательство «Русконтент» запустило образовательный проект «Все профессии нужны, все профессии важны»
- Видеть инфраструктуру как хакер. От графа моделирования угроз к алгоритмам, которые находят маршруты атак на нем
- Редакция Spark.ru: Всемирная история торговли в стиле Сатирикона: часть 7. «Батрацкий стартап»
- Информационная безопасность для цифровых кочевников
- Редакция Spark.ru: Как DIY-инструменты и краудсорсинг заменяют профессиональных продюсеров?
- Сравнительный обзор: Shodan, ZoomEye, Netlas, Censys, FOFA и Criminal IP