Школьник из Мончегорска обнаружил критическую уязвимость во «ВКонтакте», пока готовился к ЕГЭ Статьи редакции
За это соцсеть выплатила ему денежное вознаграждение, а университет ИТМО позвал на бесплатное обучение.
Во время подготовки к ЕГЭ по информатике, 17-летний Илья Глебов случайно обнаружил уязвимость во «ВКонтакте» и мессенджере ICQ, которая позволяла получить доступ к любому аккаунту без двухфакторного входа. Он сообщил о проблеме разработчикам и сначала получил 3 тысячи долларов (около 176 тысяч рублей), а затем место в университете ИТМО. Об этом сообщает портал вуза ITMO.NEWS.
По словам Глебова, он был занят подготовкой к экзамену по информатике, когда наткнулся на статью 2016 года, в которой говорилось, как взламывать профили на Facebook.
Всё произошло, когда я готовился к ЕГЭ по информатике. Там была задача под номером 27. В ней было очень много параметров, надо было пробовать, перебирать. И мне так надоело это делать, что я просто решил отвлечься и что-нибудь почитать. Наткнулся на статью об уязвимости в Facebook и решил попробовать этот способ на ВК.
Суть уязвимости на Facebook сводилась к перебору кодов восстановления на тестовом домене соцсети. Глебов из любопытства решил попробовать этот же метод во «ВКонтакте». Найденная уязвимость работала с большинством страниц российской соцсети. Исключение составляли лишь те пользователи, которые настроили двухфакторную аутентификацию (вход по коду или смс).
Пойти по пути Фейсбука у Глебова не вышло. Суть уязвимости, которую он нашёл во «ВКонтакте», сводилась к тому, что соцсеть давала за одну сессию восстановления пароля отправлять смс с кодами на любые номера. Таким образом один пользователь мог получить доступ к странице любого другого пользователя, если знал номер телефона, привязанный к профилю. Один и тот же код приходил на разные телефонные номера.
Для обнаружения уязвимости Глебову пришлось сделать реверс-инжиниринг приложения «ВКонтакте» для Android, написать небольшую программу на C# и изучить HTTP-запросы, которыми обмениваются мобильный клиент и сервера соцсети.
По словам тинейджера, сразу после обнаружения уязвимости он сообщил об этом разработчикам через платформу для поиска багов HackerOne. Спустя 17 часов проблему устранили, а через несколько дней «ВКонтакте» выплатила Глебову 2 тысячи долларов.
На этом он не остановился и протестировал на ту же уязвимость мессенджер ICQ — там она тоже сработала. За сообщение об этом ему доплатили ещё тысячу долларов.
Эту задачу я делал где-то в течение двух дней, хотя по общему времени она заняла часа четыре. Я примерно знаю, как работает «ВКонтакте», поэтому проверить эту мысль было достаточно просто. Хотя это, конечно, не первый раз, когда я пытался проверить что-либо на уязвимость. На HackerOne есть несколько отчетов.
По словам Глебова, ещё до способа взлома аккаунтов через смс-коды, он нашёл другую уязвимость во «ВКонтакте», которая касается приватных данных, но пока не может сообщить о ней подробности.
В разговоре с ITMO.NEWS молодой человек рассказал, что пока не собирается тратить заработанные деньги, потому что «до 18 лет не сможет зарегистрировать себе Paypal-аккаунт».
В итоге ЕГЭ по информатике Глебов написал на 97 баллов, а остальные предметы — «не так успешно». По его словам, в экзамене по математике он сделал глупые ошибки. Весной Глебов закончил гимназию в Мончегорске — небольшом городе Мурманской области с населением около 40 тысяч человек.
На вопрос о том, на кого он равняется и куда будет поступать, Глебов ответил, что ему «по многим вопросам близка позиция Павла Дурова», а свою жизнь он хочет связать с информационной безопасностью.
Я просто хочу, чтобы информация людей была хорошо защищена, чтобы не случалось хакерских атак, да и в целом чтобы люди спали спокойно. Документы я подавал в пять разных вузов, но приоритетом является Университет ИТМО, потому что это действительно один из сильнейших IT-вузов. Хотелось бы пройти, но посмотрим, как получится.
После интервью с ITMO.NEWS, Глебов встретился с деканом факультета информационной безопасности и компьютерных технологий ИТМО Данилом Заколдаевым. Тинейджер успешно прошёл собеседование и проверку знаний, после чего ему предложили обучаться в университете на бюджетной основе по программе «Технологии защиты информации».
В университете рассчитывают, что Глебов выдержит нагрузку в первый год обучения и сможет «раскрыть свои таланты в области информационной безопасности». Как сообщил Заколдаев, внимание на тинейджера ИТМО обратил после публикации «на серьёзном интернет-ресурсе, где специалисты в области IT общаются и делятся опытом».
Захожу я значит посмотреть на редизайн TJ, а тут новость про меня.
Все итак понимают что это он про ТЖ, к чему скрывать?
Комментарий недоступен
Вот так.
На хабре это было, сорян тж. Ресурс название которого нельзя произносить вслух)
Заработать 3 тыщи баксов за 4 часа — молодец!
Клянчить деньги на билет в ньюйорк — блядство.
Захожу я значит посмотреть на редизайн TJ, а тут новость про меня.
Так, Никитос, ты больше не самый крутой школьник в этом дворе.
Привет, Илья. Хотим тебе сделать небольшой, но приятный (и полезный) подарок. Напиши мне «ВКонтакте» https://vk.com/damir.kama , в телеграме @makeriwe или в твиттере @damir_kam
Мы разделяем мнение ИТМО, что такие навыки должны поощряться, поэтому дарим тебе ещё год бесплатной подписки на TJ. Будем рады видеть от тебя материалы и комментарии в нашем уютном читательском клубе.
P.S. Можешь и у нас поискать баги)
ты как тут в новости оказался? Через постель.. но в итоге пришлось всё-таки доплатить?
Комментарий удален модератором
Спалил
ТЖ настолько обновился, что рассказывает истории успеха. Ц. *качает головой*
Но но, это наш человек, ему можно.
Интересно, как ТЖ подбирает «Статьи по теме», если из всех статей про технологии мне показывается вот это
Пацан короче к успеху пришёл, о нём на TJ написали.
Заходит он такой, чисто посмотреть на сайт наш.
А тут, блять, баг на баге.
Найдет уязвимость как клубный аккаунт получить бесплатно
Ха-ха. Мочегонск.
А я думала, у меня одной так читается...:D
Так а чего вы про школьников с Путиным сейчас не пишете ничего? Я страдаю без ВВП...
Уже в процессе, спокойно
Нихуя не понятно. Объясните, пожалуйста, что за тестовый домен?
Я правильно понял, что запрашивается восстановление доступа к странице через смс, а потом код тупо брутфорсится? Но там же должно быть ограничение попыток ввода, или в этом уязвимость и заключалась?
https://m.habrahabr.ru/post/332684/ я так понял это его статья, там подробности есть
Я не стал вдаваться в подробности статьи про Фейсбук в рамках материала о «ВКонтакте», но там было небольшое число возможных комбинаций кода, что делало возможным перебор за 5 попыток, если не ошибаюсь.
Кароч, на тестовых доменах соц. сети ограничения на брутфорс не было.
Там есть ссылка на оригинальную статью.
Facebook will then send a 6 digit code on his phone number/email address which user has to enter in order to set a new password. I tried to brute the 6 digit code on www.facebook.com and was blocked after 10-12 invalid attempts. Then i looked out for the same issue on beta.facebook.com and mbasic.beta.facebook.com and interestingly rate limiting was missing on forgot password endpoints.а кто все эти ноунеймы, которые повылазили в комментах после редизайна?
Дизайнерам оплатили подпиской.
Комментарий недоступен
Комментарий удален модератором
Ну с такими баллами у меня выбор не большой. Это как бы лучший вариант.
ИТМО в этом году набрали себе тонну олимпиадников и вот таких умных ребят вне конкурса, из-за чего проходные баллы на некоторые направления взлетели на 25 баллов (простите за тавтологию).
Универу хорошо, а вот многие простые ЕГЭшники пролетели с поступлением, т.к. конкурсных мест стало значительно(!) меньше.
Комментарий недоступен
Сначала написали про суммарные 3 тысячи, а потом расписали, что 2 тысячи от ВК + 1 тысячу за ICQ.
Какой нормальный школьник тж, и даже без дуршлага на голове
HTML запросы?
Торопился и попутал, уже исправился. Самому стыдно.
т.е. школьник решил подготовится к ЕГЭ и нечаянно хакнул несколько продуктов мэйлругрупп многомиллиардных?))))
Интересно это задание в части А или Б было)
По статистике чем больше миллиардов стоит продукт тем больше в нём дыр
Это он так развеялся.
Может, выпендримся и бесплатную подписку ему подарим?
Комментарий удален модератором
Уже платная есть
Комментарий недоступен
От зависти не могу даже прокомментировать ;( Я тоже хочу быть талантливым мальчиком!
Мальчиком быть не обязательно, важнее быть талантливым(ой).
Ну, для начала тебе придётся стать мальчиком...
Ребят, что-то поздновато с "новостью".
Почему это?
То есть хакнуть вк он может, а завести аккаунт в paypal сложна?