Российские хакеры нашли способ взлома любого аккаунта в Yo Статьи редакции
В минималистичном мессенджере Yo нашли уязвимость, позволяющую получить доступ к аккаунту любого пользователя. Об этом рассказали TJournal двое специалистов по безопасности, обнаруживших брешь в приложении.
Лев Локтионов и Александр Гребенщиков, двое программистов, известных взломами «ВКонтакте», обнаружили критическую уязвимость в мессенджере Yo. Они выяснили, что процедура восстановления доступа к аккаунту в Yo отправляет проверочный код на номер мобильного телефона, однако не проверяет, принадлежит ли он владельцу аккаунта.
Как оказалось, на странице восстановления пароля можно ввести любое имя пользователя и получить ссылку для изменения пароля, введя свой номер телефона. Гребенщиков обнаружил эту уязвимость «методом тыка», а Локтионов придумал, как присваивать аккаунты с помощью панели разработчиков сервиса.
Хакерам удалось отправить сообщения через Yo от чужих аккаунтов — например, YO, DUROV и TJOURNAL. Помимо этого, они получили доступ к личному аккаунту технического директора TJournal Ильи Чекальского и привязанным к нему вспомогательным профилям, после чего TJournal перестал присылать уведомления о новых статьях через Yo.
Вместе с сообщением о взломе Yo хакеры прислали в редакцию TJournal скриншот из панели разработчика, в которую они вошли из-под взломанного аккаунта Чекальского.
Получить доступ к адресной книге Yo хакерам не удалось. Как выяснилось, при повторном логине список контактов не сохраняется. TJournal сообщил представителям Yo о найденной уязвимости, однако не получил оперативного ответа.
Локтионов и Гребенщиков стали известны после взлома страницы Павла Дурова во «ВКонтакте» и эпидемии репостов в соцсети, произошедшей в ноябре 2013 года. При помощи специального приложения во «ВКонтакте» другие пользователи размещали у себя на странице репост записи друга программистов, просто переходя по ссылке в нём.
#Новость #хакеры #безопасность #уязвимости #Yo #Yo #студенты_взломали_мессенджер_Yo #мессенджер_Yo #интеграция_с_Yo #Лев_Локтионов #Александр_Гребенщиков
Я в своей провинции до сих по не могу собрать друзей в Secret, а вы тут со своим Yo,
А разве нельзя рассылать "Yo" через любой другой мессенджер? Чем это будет хуже?
Так и секреты можно на заборе и в лифте читать :)
Это будет глупо :/
ДА ЕДРЕНА КАРАКАТИЦА! КТО-НИБУДЬ ПОДУМАЛ О ДЕТЯХ?
СТРАШНО ЖИТЬ! ОСТАНОВИТЕ БЕСПРЕДЕЛ!
Комментарий недоступен
АНБ уже давно читает переписку пользователей YO.
Уже кто-нибудь разрабатывает безопасный аналог Yo, в котором Yo надёжно шифруются.
Хм, а ведь это идея для стартапа!!!
Ну да, я немного удивился, получив Yo от своего аккаунта.
YO устал, YO ухожу.
Как символично, что я получил Yo от Tj об этой новости
Был бы еще какой нибудь смысл или польза от этого
Взломать аккаунт, чтобы присылать Yo от чужого имени.
Представляю, как пресс-секретарь Медведева сообщает, что Yo Медведева был взломан, и сам Медведев не рассылал Yo.
ага и "Пресс-служба заявляет о недействительности всех последних YO."
Комментарий недоступен
Ё
О боже, они получили доступ к моему аккаунту yo, и теперь смогут рассылать от моего имени yo кому попало, какой ужас, как жить дальше
Это они научили таки tj отправлять yo подписавшимся?
I told ya
Да, история на самом деле интересная. Дело в том, что я зарегистрировал аккаунт TJOURNAL раньше, чем узнал, что с аккаунтов, зарегистрированных через телефон нельзя рассылать YO через API, а для этого надо регистрировать отдельные сервисные профили. Поэтому написал письмо в Йоу и они привязали аккаунт TJOURNAL к моему профилю в Yo.
Как раз после этого Саша и Лёва решили восстановить пароль на аккаунт TJOURNAL, и, несмотря на то, что этот аккаунт сервисный, у них получилось, после чего по непонятным причинам изменился токен и сломалась рассылка Yo читателям ТЖ.
А можно сделать push-уведомления о новых статьях редакции в самом приложении TJournal?
Сказали, что будет, но позже.
Ну Лёва как всегда, лол.
Ну все теперь, личную переписку скомпрометируют