Герои и Злодеевы: администраторов и авторов сообществ «ВКонтакте» деанонимизируют третий год подряд Статьи редакции
Миллионы пользователей «ВКонтакте» доверяют свои секреты сообществам вроде «Подслушано», публикуя анонимные истории, и администраторы многих страниц тоже предпочитают оставлять свои личности в тайне. Однако уже третий год подряд специалисты обнаруживают уязвимости, деанонимизирующие таких пользователей соцсети.
4 мая HTML-верстальщик из Смоленска Алексей Злодеев рассказал на «Хабрахабре» об очередном способе узнать, кто является автором предложенной в сообщество публикации, а кто — опубликовавшим её администратором. По его словам, он смог сделать это через официальный API соцсети, но для успешного разоблачения обязательно требовалось, чтобы в сообществе были разрешены комментарии.
Я смотрел метод newsfeed.getComments без каких-либо злых намерений. Этот метод возвращает посты в которых текущий пользователь оставил комментарий или иным образом подписался на уведомления (раздел «Мои новости → Комментарии»). Получив необходимые мне результаты, я обратил внимание на то, что в ответе сервера в злополучном массиве profiles лежит пять аккаунтов. Зачем они нужны и откуда они берутся, следовало немедленно выяснить. Для тестов я брал анонимную группу своего города, оставлял комментарий под последним постом и смотрел на ответ сервера по запросу к этому методу.
Оказалось, что каждый из этих пользователей имел непосредственное отношение к посту. Первым был тот, кто опубликовал новость, то есть человек с правами не ниже модератора, вторым был тот, кто «предложил новость», если он вообще был, и оставшиеся трое — последние прокомментировавшие запись. После проверки на тех группах, в которых все эти данные были «скрыты» настройками приватности, всё лишь подтвердилось. Всё именно так и было: всё, что скрывалось настройками приватности, было доступно в три клика.
По словам Злодеева, он собирался сообщить о найденной уязвимости во «ВКонтакте», однако по незнанию воспользовался неподходящими для этого средствами. Сначала он пытался отправить сообщение об уязвимости через баг-трекер «ВКонтакте», но не был в курсе, что он доступен только для зарегистрированных на платформе разработчиков.
Затем он отправил информацию о своей находке в vc.ru: там его попросили доказать работоспособность метода. Злодеев принялся экспериментировать с найденным багом и начал публиковать списки администраторов крупных новостных сообществ (РБК, Первого канала, «Известий») у себя в паблике.
Ссылки на профили пользователей автоматически преобразовались в упоминания: администратор сообщества «Известий» заметил это и сообщил об ошибке во «ВКонтакте». Позднее аккаунт Злодеева в соцсети заблокировали.
В разговоре с TJ он признался, что до этого случая не знал о программе вознаграждения за найденные уязвимости Hacker One, в которой участвует «ВКонтакте» (соцсеть регулярно платит от 100 до 500 долларов, но иногда выплачивает более крупные награды — от 2 до 5 тысяч долларов). По его словам, он в итоге не смог подать туда заявку из-за слишком плохого знания английского языка: «Я застопорился на первом же пункте „Тип уязвимости“».
Сам верстальщик считал, что блокировка — результат жалоб упомянутых им пользователей на спам. Однако пресс-секретарь «ВКонтакте» Евгений Красников рассказал TJ, что Злодеева заблокировали за публичное эксплуатирование уязвимости, а баг устранили после обращения одного из «разоблачённых» администраторов сообществ.
Мы полностью устранили эту уязвимость. Пользователя, который воспроизводил её умышленно и публично, пришлось его заблокировать.
По словам Красникова, вознаграждение обнаружившему уязвимости выплачено не будет: «С террористами переговоров не ведём».
Аналогичный случай произошёл в апреле 2015 года: тогда Злодеев изучал тот же метод в API «ВКонтакте» и обнаружил схожую уязвимость. После обращения в поддержку «ВКонтакте» уязвимость закрыли, награды не выплатили, а через некоторое время аккаунт Злодеева был заморожен за якобы спамный пост на стене его собственной группы.
Первый широко известный случай такой деанонимизации произошёл в октябре 2014 года: студенты Киевского политехнического института выпустили утилиту на основе API «ВКонтакте», которая помогала вычислять администраторов сообществ через ID репостов записей. Если репостов в сообществе не было, вычислять не получалось.
Об этом же случае вспоминал Злодеев, по всей видимости считая, что нашёл уязвимость независимо от украинцев. В том случае пресс-секретарь «ВКонтакте» Георгий Лобушкин назвал этот способ разоблачения анонимов «недокументированной фичей». В разговоре с TJ Красников подтвердил, что исправленная в мае уязвимость — это «призрак той истории 2014 года» с «трудновоспроизводимой» уязвимостью.
Сам Злодеев писал, что он никакой не хакер и не разработчик, а все эти «уязвимости» (или «незадокументированные фичи») он обнаруживал почти случайно. «Я человек. Человек, которому интересно, как работает то, чем он пользуется чаще одного раза в день. И если в функциональности найден изъян, не поделиться с кем-то этим я не могу. Банально не хватает терпения сдерживать в себе информацию, которая может оказаться полезной некой категории людей, имеющих возможность извлечь из неё выгоду и поделиться со мной знанием, как такие знания использовать», — писал он в апреле 2015 года.
Он совсем что ли вкрай ебанутый?
-- У вас карман сумки расстёгнут.
-- МИЛИЦИЯ, УБИВАЮТ!!!
Ну если уж проводить такую аналогию, то он не указал на расстегнутый карман, а начал вытаскивать из него вещи
Насколько я понял из текста материала, Алексей всё-таки лишь указал на дыру, а вытаскивать начали те, кому это было выгодно.
Вот это не очень хороший поступок, как мне кажется
Комментарий удален модератором
Дамы и господа, пожалуйста, не переживайте -- Евгений на самом деле пока меня не заблокировал. Кто не понял -- тот поймёт...
ШОК! Пресс-секретарь крупной российской соцсети угрожает пользователям! (ФОТО)
А вк-то "радует" всё больше и больше.
Ну и ебланы же остались работать в вк. Такое сделать надо быть психованной обиженкой.
Обычное поведение сотрудников mail.ru
В очередной раз подтвердили одну истину: нашёл "уязвимость" - монетизируй сам, на форумах определённой тематики.
Самое смешное, что аналогичную уязвимость я им сливал ещё году в 2014-м, тогда, правда, администраторы и предложившие в массиве profiles выдавались прямо в запросе на получение записей.
Классный заголовок, интересный случай, мудаческое отношение со стороны ВК.
Дадада, мы отсылку поняли )
Я там новую вроде как нашёл. Если Хабр одобрит, ждите ещё пост!
На «Хабр» зачем, денег же не заплатят.
А ты зайди к ним на hackerone, почитай условия. Мне проще посту запилить, чем париться с этим hackerone.
Тем более, я на работе сидел, читал этот пост на хабре и вспомнил что недавно делал модуль для сайта одного и юзал API их и нашёл там косячок, а времени разобраться не хватало. Сегодня на работе быстренько оттестил, вроде бы как сработало, ну, на хабре разберутся. Посмотрим.
Если с тобой можно как-то связаться, ты мне напиши, я тебе скину текст, который на модерацию кинул. Ты может и сам проверишь, разберёшься.
Комментарий недоступен
- Ало, Иван?
- Да!
- Х** на, Вы забанены!
То чувство, когда тип с команды ВК ставил лайк тебе. Ребят, у меня тут в дверь стуфшрыиаршфипафмощтмфощж
Это граммар наци, за "типа с команды"
Вас тоже заберут за непоставленный дефис.
Ат тюрьмы не зарикайся, да
Комментарий недоступен
Сначала пусть хабр проверит. И если да, то я не против в бане побыть.
Никита, я пост отменил на хабре. Списался с модерацией ВК. В отдел разработки передали, будут фиксить.
По Вашему обращению создана задача для разработчиков.
Мы надеемся, что проблему удастся решить в кратчайшие сроки.
Жду теперь, пока фиксанут.
Так кто злодей то в итоге? Злодеев или Вконтакте?
Почему новость здесь, а не на ЦП?
Никаких претензий, просто странно.
Комментарий удален модератором
Он не злодей, а идиот.
Дважды обосрался, а потом обиделся. 10 из 10.
Комментарий недоступен
Не в злых же намерениях, а для демонстрации и подтверждения своих слов.
Если нужно анонимно, зачем что-то делать со своего профиля?
Анонимно от тысяч подписчиков. Админ видит, ну и что. Подразумевается, что он как врач: репутация дороже, и все такое.
Так и представляю....
- Помогите мне "доктор", [убил,ограбил,изнасиловал,покалечил,обкакал] туеву хучу людей (или иные анонимные проблемы), фигово сплю по ночам, как мне быть? кстати - вот мои семейные фото и вобще полное фото досье, а еще ссылки на всех моих знакомых в одном месте, с адресам, телефонами, чтоб удобнее было понять что я тоже живой человек. Анонимно пожалуйста.
По моему скромному мнению - анонимность и личный профиль - это те вещи которые не совместимы, как селедка с молоком - результат предугадать не сложно.
Так даже если ты создашь новый профиль и с него че-то нехорошее сольешь, то администрация в прямом смысле вычислит тебя по айпи, найдя такой же айпишник, который засветился в другом акке.
Зачем сидеть с одного IPшника, если нужно анонимно? Можно продолжать бесконечно, но все и так ясно, кому нужно анонимно - то сделает анонимно.
Да ну?
А если общага и все через один айпишник сидят?
Комментарий недоступен
Сам то понял что спросил? Если цель - анонимность - то о каких семейных фото речь?
Комментарий недоступен
Вк все больше становятся мудаками
Вообще-то мудак здесь Злодеев, а вк все правильно сделали.
ну расскажи нахера тереть личные данные, записи пабликов и прочее? трите то, что непосредственно относится к теме, объяснитесь. а так это обыкновенны беспредел. совсем охуели.
Беспределил как раз-таки автор, он использовал уязвимость на реальных людях, выкладывая ее результаты в паблик. За такое принято банить.
Эм еще вроде по гифкам выложенным в паблик можно выяснять, кто админ