Разработчик нашел уязвимость во «ВКонтакте», позволяющую читать чужие переписки

Разработчик Yoga2016 рассказал об уязвимости во «ВКонтакте», которая позволяет читать личные сообщения через сервис статистики SimilarWeb.

SimilarWeb позволяют собрать 300 самых популярных материалов с любого сайта. Но при попытке получить данные соцсети «ВКонтакте» сервис выдал ссылки на сообщения случайных пользователей соцсети.

Алгоритм, по которому сервис отбирает страницы из «ВКонтакте», неизвестен — у части пользователей, попавших в список, меньше 50 друзей в соцсети, отмечает TJ. Это выглядит, словно общий массив личных сообщений, разбитый на несколько блоков.

Кроме того, отправив сообщение одному из участников списка, редактор TJ обнаружил своё сообщение в ссылке из SimilarWeb.

В беседе с TJ разработчик сообщил, что обращался в поддержку соцсети, но не получил ответа. Представители «ВКонтакте» ответили, что проблему создали сторонние разработчики:

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным. В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.

Во «ВКонтакте» сообщили «Коду Дурова», что «настоятельно рекомендуют устанавливать официальные приложения соцсети и не пользоваться непроверенными клиентами».

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!