Миллионы пользователей социальной сети «ВКонтакте» по-прежнему доверяют свои секреты «анонимным» сообществам. Тем временем «ВКонтакте» по-прежнему оставляет злоумышленникам шанс узнать, кто же стоит за этими сообществами.
В начале мая на «Хабре» была опубликована статья, в которой рассказывалось об ещё одном способе узнать, кто является автором опубликованной записи, а кто — опубликовавшим её администратором. Позже об этом упоминалось и на TJournal.
Что же на этот раз?
На этот раз уязвимость была найдена уже в другом методе небезызвестного API «ВКонтакте», под названием wall.getReposts. Суть уязвимости заключается в следующем: если сообщество сделало репост чужой записи, то получая список репостов исходной записи, можно засветить того, кто сделал этот репост. Вроде бы всё верно, метод для того и создан. Но если репост был сделан в сообщество или группу, то засветится id того, кто этот репост сделал.
Как использовать?
Для теста было создано 2 группы:
№1 — https://vk.com/vkbugreport1
№2 — https://vk.com/vkbugreport2
На стене группы №2 была создана запись, которая репостнулась в группу №1, естественно репост произведён от имени группы и без подписи администратора. Далее следует посетить страницу знакомого вам человека, дабы не спутать результаты, если вы проводите эксперимент на своих сообществах, если же на других, то можно остаться в своём профиле и перейти на страницу с описанием метода wall.getReposts. Внизу этой странице есть форма для тестирования работы метода. Она нам и понадобится.
В поле owner_id указываем -id группы в которой был изначальный пост, в случае с примером выше -120708468.
В поле post_id указываем id самого поста, в данном случае 1.
И смотрим на результат работы.
Здесь нас интересует объект profiles. В нём мы видим сообщество из которого сделали репост, сообщество в которое сделали репост, профиль с которого отправлялся запрос (Мирослава Покровская) и очень странно, но мы видим профиль, который сделал этот самый репост (Иван Зимин).
И что же делать?
После факта обнаружения уязвимости был создан тикет в техподдержку «ВКонтакте». Тикет был создан 6 мая 2016 года. На дворе уже 20 мая 2016 года, а уязвимость по-прежнему существует. На «Хабре» уже даже есть статья, которой активно пользуются люди.
P. S.
Эта статья появилась тут не просто так. В истории с Алексеем Злодеевым было много вопросов по типу «А почему не обратиться в техподдержку», «Почему не обратиться на HackerOne». Дело в том, что если объективно смотреть на ситуацию, то пока разместишь репорт на HackerOne, сойдёшь с ума. Поэтому я выбрал вариант написать в техподдержку.
Прошло 14 дней (две недели), а исправлений уязвимости так и не последовало. ИМХО, 14 дней игнорировать действующий баг, хоть и незначительный — не уровень социальной сети такого масштаба. Пост висит на «Хабре», и им пользуются люди, доказательством чего является сегодняшнее сообщение, которое я получил во «ВКонтакте». В нём шла речь о найденном администраторе анонимного сообщества с помощью этого маленького бага.
По-моему, частота багов, деанонимизирующих администраторов сообществ, скоро сравняется с частотой «TJ не удалось получить оперативный комментарий».
Кстати, а если мне выдадут бан ВКонтакте, как мне получить доступ к аккаунту на TJ? Пойду другую соц. сеть прикреплю.
По-моему фикс.
Пишет моё имя в левом паблике, хотя я не делал репост.
Нет, не фикс. Я провервил. Твоё имя там всегда будет. Ты запрос делаешь с API с сайта.
+, теперь не отдает profiles
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Да, чётко, фокс!
Комментарий удален модератором
Да, чётко, фокс!
Комментарий удален модератором
Да, чётко, фокс!
Комментарий недоступен
Это успех. 14 дней игнорить, а потом за 10 минут проснуться и фиксануть.
Сейчас вновь кого-то объявят террористом?
Могли бы на hackerone получить денюжку
Такие дела, ребята!
Перелом лучевой кости
А вы интересный человек, Иван.
<quote>А вы интересный человек, Иван.</quote>
Научи цитаты делать. А то я не такой продвинутый в этом.
Знак ">" в начале строки (без кавычек, естественно), текст после пробела, и будет тебе счастье.
Если техподдержка игнорит, то нужно найти сотрудников вк и через них ускорить процесс. А вот в паблик публиковать уязвимость не стоит.
В следующий раз попытаюсь!
P.S. Я кидал заявку Илларионову с сообщением прикреплённым, мул я нашёл багу, давайте ускорим процесс. 2 дня висела, я забил.
И ещё, "Глава пресс-службы" у которого закрыта личка? Я плакаль!
Зачем мне утруждать себя? Это же я помогаю им, а не они мне. Я проявил максимальную активность, чтобы оповестить их об уязвимости. Может мне нужно было ещё письмо им в офис отправить? Правда считаю что максимально прав в этой ситуации. Я был убеждён что пост на TJ их пробудит, ибо видел что разработчики ВК и их "Глава пресс-службы" читает это сообщество. Я оказался прав. 10 минут и "всё окей". А потом читаю шутки от ТП. Бага маленькая, но всё же. О некоторых просто нет смысла сообщать, ибо они "выгодны". Знал бы ты, сколько людей юзают баги и живут припеваючи. Я представляю что будет с ТП, когда все резко им сообщат все баги. А, хотя, что тут представлять, они будут отшучиваться, как обычно.
Я говорю о том, что нужно быть осторожным, чтобы себя не подставить публикацией бага в паблик.
Куча историй же когда человек делает хорошее дело, а ему потом обвинение предъявляют.
да не это норм на хакерване уязвимость мной отправленную исправляли около 4 месяцев (:
Комментарий удален модератором
?
?