вторник, 30 августа 2016 г.

Хакер узнал телефоны Дурова и Медведева через уязвимость в редизайне «ВКонтакте»

Хакер под ником Алекс Ребл обнаружил, что через закладки «ВКонтакте» можно узнать привязанные к аккаунту в соцсети номер телефона и адрес электронной почты, и получил телефоны известных персон, включая Павла Дурова и Дмитрия Медведева. В администрации «ВКонтакте» подтвердили, что такая ошибка существовала, но была исправлена, однако публично о ней не рассказывали.

Впервые об обнаруженном Реблом баге 28 августа сообщило сообщество «Код Дурова» во «ВКонтакте». На следующий день в сообществе появилось интервью со взломщиком, заявившим, что он смог получить доступ к личным данным Павла Дурова, операционного директора «ВКонтакте» Андрея Рогозова и разработчика соцсети Олега Илларионова, а также премьер-министра РФ Дмитрия Медведева.

По словам Ребла, изначально он обнаружил баг, якобы пытаясь связаться со своей бывшей девушкой. Он добавил в закладки во «ВКонтакте» её подруг, а затем обнаружил данные, которые для него должны были быть недоступны.

Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность. […]

Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON-формате: {"name":"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} — по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер.

Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп.

Алекс Ребл, хакер

Как рассказал TJ администратор сообщества «Код Дурова» Михаил Верник, он связывался с Рогозовым, и тот подтвердил ему наличие ошибки, однако заявил, что публично о ней рассказывать в ближайшее время не будут. По словам Верника, обнаруженные Реблом телефоны были реальными, проверять не стали только номер Медведева (вероятно, он принадлежит сотруднику его пресс-службы), однако его почта была привязана к адресу на домене .gov.

Ребл заявил, что изначально не рассчитывал на вознаграждение за найденную уязвимость, а решил привлечь внимание администрации «ВКонтакте», чтобы ошибка была исправлена. Однако во «ВКонтакте» попросили его написать отчёт об ошибка на HackerOne — платформе, через которую соцсеть выплачивает вознаграждения за найденные уязвимости.

Вечером 29 августа Ребл намекнул, что администрация соцсети отказала ему в выплате вознаграждения. По его словам, номера бывшей девушки он так и не нашёл, хотя технически он мог проверить любого пользователя «ВКонтакте».

По мнению Ребла, об ошибке мог знать существенный круг людей — до тысячи человек. Его удивило то, что администрация соцсети не предупредила пользователей об уязвимости и не попросила поменять личные данные.

Рогозов и пресс-служба «ВКонтакте» проигнорировали запросы TJ о комментариях. Сам Ребл на сообщения не ответил.

Переход на новый дизайн веб-версии завершился 17 августа. Его тестировали с 1 апреля среди ограниченной аудитории, а с июня начали принудительно подключать к нему остальных пользователей.

Твитнуть

Поделиться

Поделиться

Нашли опечатку? Выделите фрагмент и отправьте нажатием Ctrl+Enter.

Let's block ads! (Why?)