CEO-разработчик под ником Yoga2016 нашел в соцсети «ВКонтакте» уязвимость, позволяющую читать переписки пользователей с помощью сервиса статистики SimilarWeb. Об этом сообщает TJournal.
Сервис SimilarWeb позволяет получать статистику сайтов и соцсетей из поисковых систем. Он собирает данные о трафике и самых популярных материалах.
Платная версия сервиса, по словам Yoga2016, позволяет посмотреть 300 самых популярных материалов сайта. По словам программиста, когда он применил SimilarWeb, чтобы увидеть самые популярные материалы «ВКонтакте», то получил личные сообщения 300 случайных пользователей. Как именно они были отобраны, неизвестно, так как у некоторых из этих пользователей всего около 50 друзей и низкая активность на странице.
Yoga2016 прислал TJ несколько ссылок на переписки пользователей, где в строке user указаны id-адреса страниц. Там же можно найти фотографии и пароли.
Представители «ВКонтакте» заявили изданию, что некоторые разработчики, имеющие доступ к программному интерфейсу, могли злоупотребить своими правами и передать данные в SimilarWeb.
В соцсети подчеркнули, что 400 пользователей осознанно передали «небезопасному приложению» доступ к личным данным.
Представители «ВКонтакте» заверили, что «оперативно расследуют» этот вопрос и «уже заблокировали подобные токены, чтобы обезопасить пользователей».
В комментарии, опубликованном соцсетью, подчеркивается, что данные пользователей в SimilarWeb передавали ненадежные VPN-сервисы. По словам директора по технологиям «ВКонтакте» Сергея Кубасова, пользователь, разрешивший таким VPN-приложениям или прокси-сервисам доступ к трафику на своём устройстве, рискует передать третьим лицам свою историю посещений, личные сообщения, информацию об аккаунтах в разных сервисах и данные банковских карт.
По итогам анализа, проведенного специалистами «ВКонтакте», выяснилось, что речь идёт об использовании небезопасных VPN-сервисов, которые передают данные, например, сторонним сервисам аналитики.
«ВКонтакте» также изучила данные о сетевых запросах пользователей, доступные на SimilarWeb. Среди них оказались ключи доступа к API ботов в Telegram, позволяющие отправить любое сообщение от имени чужого бота, история поисковых запросов с сайтов ФБР и российского правительства, а также «названия не анонсированных проектов с закрытого корпоративного ресурса крупной игровой компании».
Представители «ВКонтакте» порекомендовали не использовать VPN-сервисы от непроверенных разработчиков.
Летом прошлого года 17-летний школьник из Мончегорска обнаружил критическую уязвимость во «ВКонтакте», которая позволяла получить доступ к любому аккаунту без двухфакторного входа. Он сообщил об уязвимости разработчикам, через 17 часов проблему устранили, а «ВКонтакте» выплатила школьнику вознаграждение.
Мистические места Карелии: от христианской святыни до северной Кама-сутры