SEO-разработчик Yoga2016 нашел уязвимость в соцсети «ВКонтакте», которая дает возможность читать переписку пользователей.
Программист применил сервис по получению статистики сайтов и соцсетей из поисковиков SimilarWeb. Оказалось, что если через платную версию программы проанализировать «ВКонтакте» или другие сайты, то можно просмотреть 300 случайных материалов конкретного сайта, среди которых - страницы пользователей.
С помощью этого способа невозможно попасть на страницу какого-либо определенного пользователя, Сервис веб-аналитики SimilarWeb предлагает для анализа случайную выборку страниц с неясной логикой выборки. По словам разработчика, он обратился во «ВКонтакте» в рамках программы Bug Bounty, но никакого вознаграждения за найденный баг не получил.
В пресс-службе «ВКонтакте» рассказали, что уязвимость не связана с проблемой соцсети, а вызвана действиями разработчиков, которые имеют доступ к API (интерфейс прикладного программирования). Так, они имеют возможность использовать личную переписку в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.
Читайте Новости дня и Новости России на нашем канале Яндекс Дзен и на страницах нашего сайта День ОНЛАЙН