Хакер узнал телефоны Дурова и Медведева через уязвимость в редизайне «ВКонтакте» Статьи редакции
Хакер под ником Алекс Ребл обнаружил, что через закладки «ВКонтакте» можно узнать привязанные к аккаунту в соцсети номер телефона и адрес электронной почты, и получил телефоны, связанные с аккаунтами Павла Дурова и Дмитрия Медведева. В администрации «ВКонтакте» подтвердили, что такая ошибка существовала, но была исправлена, однако публично о ней не рассказывали.
Впервые об обнаруженном Реблом баге 28 августа сообщило сообщество «Код Дурова» во «ВКонтакте». На следующий день в сообществе появилось интервью со взломщиком, заявившим, что он смог получить доступ к личным данным Павла Дурова, операционного директора «ВКонтакте» Андрея Рогозова и разработчика соцсети Олега Илларионова, а также премьер-министра РФ Дмитрия Медведева.
По словам Ребла, изначально он обнаружил баг, якобы пытаясь связаться со своей девушкой, чтобы помириться. Он добавил в закладки во «ВКонтакте» её подруг, а затем обнаружил данные, которые для него должны были быть недоступны.
Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность. […]
Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON-формате: {"name":"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} — по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер.
Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп.
Как рассказал TJ администратор сообщества «Код Дурова» Михаил Верник, он связывался с Рогозовым, и тот подтвердил ему наличие ошибки, однако заявил, что публично о ней рассказывать в ближайшее время не будут. По словам Верника, обнаруженные Реблом телефоны были реальными, проверять не стали только номер Медведева (вероятно, он принадлежит сотруднику его пресс-службы), однако его почта была привязана к адресу на домене .gov.
Ребл заявил, что изначально не рассчитывал на вознаграждение за найденную уязвимость, а решил привлечь внимание администрации «ВКонтакте», чтобы ошибка была исправлена. Однако во «ВКонтакте» попросили его написать отчёт об ошибке на HackerOne — платформе, через которую соцсеть выплачивает вознаграждения за найденные уязвимости.
Вечером 29 августа Ребл намекнул, что администрация соцсети отказала ему в выплате вознаграждения. По его словам, номера девушки он так и не нашёл, хотя технически он мог проверить любого пользователя «ВКонтакте».
По мнению Ребла, об ошибке мог знать существенный круг людей — до тысячи человек. Его удивило то, что администрация соцсети не предупредила пользователей об уязвимости и не попросила поменять личные данные.
В пресс-службе «ВКонтакте» подтвердили TJ, что уязвимость была устранена, однако назвали её «не опасной для пользователей» несмотря на нарушение приватности. По словам пресс-секретаря соцсети Евгения Красникова, баг был неопасным, так как «доступа к аккаунту пользователя с помощью тех данных, которые можно было узнать из-за этого бага, получить невозможно».
Для таких больших интернет-ресурсов, как «ВКонтакте», баги и ошибки в коде, к сожалению, неизбежны. Все критичные уязвимости мы стараемся устранять максимально оперативно. Баг, который позволял узнать номер телефона, привязанный к странице, был также исправлен сразу после того, как мы о нём узнали, хотя и не представлял опасности для безопасности аккаунтов пользователей.
Сообщения о потенциальных уязвимостях сайта мы рекомендуем отправлять через платформу HackerOne, где за подтверждённые баги выплачивается вознаграждение.
Сам Ребл пояснил в разговоре с TJ, что «на HackerOne они месяц отвечают, вот они и решили не платить». По словам Красникова, невыплата премии связана с тем, что хакер эксплуатировал уязвимость: «Мы в таких случаях никогда не выплачиваем вознаграждения».
В пресс-службе правительства РФ заверили TJ, что номер телефона, привязанный к аккаунту Дмитрия Медведева во «ВКонтакте», является техническим, принадлежит сотрудникам пресс-службы и не имеет отношения к премьер-министру. Уточнять, был ли номер изменён после сообщения об уязвимости, в пресс-службе правительства не стали, но заявили, что предпринимаются все необходимые усилия для обеспечения безопасности официальных каналов.
Переход на новый дизайн веб-версии «ВКонтакте» завершился 17 августа. Его тестировали с 1 апреля среди ограниченной аудитории, а с июня начали принудительно подключать к нему остальных пользователей.
TJ наконец дали комментарий
«ВКонтакте» проигнорировали запросы TJ о комментариях
Ребл на сообщения не ответил
[email protected]
В голосину чет, я думал, такие нежные уже давно перевелись на тж.
Настроение, соли, миксы
И настроенный автоответчик на все входящие письма: Денег нет! Вы держитесь там.
только не mail.ru, а mail.gov
Комментарий недоступен
Комментарий удален модератором
То есть он так заебал бывшую, что ей пришлось поменять номер телефона? А теперь будет пытаться получить его через подружек? Отличная история, романтика!
А вк конечно лошары. Это надо же было так профакапиться...
Ох уж эти бывшие, что из-за них только не происходит
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Пусть про стену не забудет тогда.
Фото где Медведев и компьютеры с Windows XP меня всегда поражают. Неужели даже у него ставят старую ОС?
Фото старое, ещё 2013 года.
И, наверное, спецслужбы должны полностью и несколько раз проверить технику и ПО, а в этом они консерваторы. Ну это уже домыслы.
Прости, Паша, мы всё проебали.
Эй, а номера-то дайте
Не стоит звонить своим бывшим: бывшему Президенту РФ и бывшему главе ВК
8-800-555-35-35
Хоть кому-то удается получить денег за найденную уязвимость?
Всем выплачивают на Hacker One. Некоторые знакомые из "Котанов" постоянно туда что-то сливают и имеют не плохой заработок с этого. У данного человека был хороший шанс заработать, но вместо этого он решил похайпить. Это обычная ситуация, недавно такой же "хакер" начал в Twitter публиковать уязвимость в Telegram под macOS, а потом обижался, что ему не заплатили. Выбирай, или хайп, или деньги.
Тем, кто эксплуатирует её тайком - удаётся.
Комментарий недоступен
Ага, а мою багу игнорили 2 недели. Окей. Есть у меня ещё парочка козырей в рукаве.
Точно .gov (домен для правительственных организаций США), а не .gov.ru?
хм..
Попросить всех пользователей поменять почту и телефон?
Тут вот какое дело, ВК стал отражением нынешней действительности.
Всем насрать, что они используют отжатую соцсеть, что переписку могут читать, что за репост могут привлечь, что кто то легально рубит бабло на пиратском контенте... так же как и всем насрать куда идут нефтегазовые доходы, налоги, что за люди ими руководят...
Короче всем насрать.
Еще есть любители Дурова, они его так любят, что не смогли удалить страницу когда его выперли.
Если вдруг найду уязвимость в ВК, никогда им не сообщу и буду пользоваться пока сами не найдут и не прикроют, т.к. толку от того что помог соц сети нет никакого.
Кроме денежного вознаграждения и освобождения от уголовного преследования.
Я так и знал, Медведев – американский шпиЁн.
Кстати, да. Странно, что никто не обратил внимания
И номер дурова прям тоже настоящий, тоже небось пресс-сек
Комментарий недоступен
Я вам расскажу маленькую тайну! Это можно было и раньше сделать.
Комментарий недоступен
А вот хз, уязвимость ли. С учетом того, что видно кто из контактов телефона привязал номер к вк.