Анонимный CEO-разработчик Yoga2016 сообщил об уязвимости во «ВКонтакте», позволяющей читать личные сообщения пользователей соцсети с помощью сервиса аналитики SimilarWeb.

Как пояснил Yoga2016 в разговоре с TJ, в платной версии SimilarWeb можно просматривать 300 самых популярных материалов анализируемого сайта. При этом в случае с «ВКонтакте» сервис выдал сообщения 300 случайных пользователей соцсети.

Разработчику удалось выгрузить несколько историй переписок пользователей, добавив к адресам страниц «.xml». Среди полученных данных оказались сообщения, смайлики, фото, а также пароли и id-адреса. При этом редактор TJ, отправивший сообщение одному из этих пользователей, обнаружил свое сообщение по ссылке из SimilarWeb.

По какому принципу сервис отбирает 300 якобы популярных страниц, остается неизвестным, поскольку у некоторых пользователей около 50 друзей и слабая активность на странице.

Yoga2016 отметил, что обращался в поддержку соцсети, но не получил ответа. Представители «ВКонтакте» сообщили TJ, что уязвимость связана с действиями сторонних разработчиков, которые создают неофициальные клиенты для соцсети и могли злоупотребить правами на доступ к данным пользователей.

При этом во «ВКонтакте» подчеркнули, что в SimilarWeb были переданы данные только 400 пользователей, «которые осознанно передали небезопасному приложению доступ к своим личным данным». Соответствующие токены уже заблокированы, поэтому сейчас переписка пользователей находится в безопасности, добавили представители соцсети.


Источник: Yoga2016, TJ