Разработчик обнаружил возможность читать переписку пользователей «ВКонтакте» через SimilarWeb Статьи редакции
Во «ВКонтакте» заявили, что проблему создали сторонние разработчики, и соцсеть не имеет к ней отношения.
Продолжение: «ВКонтакте» объяснила утечку личных сообщений пользователей работой «ненадёжных VPN-сервисов».
Анонимный CEO-разработчик Yoga2016 рассказал об уязвимости во «ВКонтакте», которая позволяет читать личные сообщения через сервис статистики SimilarWeb. В разговоре с TJ он сообщил, что обращался в поддержку соцсети, но не получил ответа.
SimilarWeb — сервис по получению статистики сайтов и соцсетей из поисковиков, который собирает данные о трафике, самых просматриваемых материалах, популярности в определённых странах.
Как отметил Yoga2016, платная версия SimilarWeb позволяет посмотреть 300 самых популярных материалов конкретного сайта для анализа посещаемости. Он использовал сервис в случае со «ВКонтакте», но получил ссылки на личные сообщения 300 случайных пользователей. По его словам, он получал ссылки на переписки каждые пять дней в течение нескольких недель. TJ не будет прикреплять ссылки на личные страницы с переписками с целью сохранить приватность сообщений.
Разработчику удалось выгрузить несколько историй переписок пользователей: чтобы посмотреть их, он добавил к адресу из SimilarWeb «.xml». Он прислал несколько ссылок на переписки пользователей, где в строке user указаны id-адреса некоторых из них. Там же можно найти фотографии, пароли и другие личные данные.
Всего в Similarweb выводятся 300 случайных страниц пользователей соцсети, отобранных как «популярные». Неясно, как они отбираются, потому что у некоторых из них около 50 друзей и слабая активность на странице.
Редактор TJ обратился за комментарием к попавшим в SimilarWeb пользователям, после чего увидел своё же сообщение в ссылке из сервиса.
При этом, переписки пересекаются между собой, хотя пользователи никак не связаны и не писали друг другу — это выглядит как общий массив личных сообщений, разбитый на несколько блоков. По мнению Yoga2016, SimilarWeb анализирует не только поисковики, но и браузеры пользователей, чтобы учитывать, куда они чаще всего заходят.
Как рассказал Yoga2016, он подавал заявку в Bounty-программу от «ВКонтакте», где пользователи могут сообщать об уязвимости соцсети и получать за это деньги от разработчиков. По словам разработчика, на его сообщение не отреагировали, а тред с обсуждением этого недочёта вскоре удалили.
TJ рассказали в пресс-службе «ВКонтакте», что уязвимость не связана с проблемой соцсети, а создана разработчиками, которые имеют доступ к API. К примеру, они могут использовать личную переписку в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.
Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.
В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.
В пресс-службе SimilarWeb также пока не ответили на запрос о комментарии.
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Ну это мы щас проверим
Дмитрий, прочитайте пожалуйста мою личную переписку.
мне кажется, в наше время нужно на первое место ставить безопасность, а потом только юзабилити.
Комментарий недоступен
Просто не надо там делать того, что не надо.
Никто не заставляет делать что-то, кроме прослушивания музыки.
Звучит как анонимный алкоголик.
Комментарий недоступен
а как иначе сделать сторонний мессенджер на базе вк?)
Да ясен хер что всех читают и слушаю. Кому не хочется - ставят проги. Остальные как на ладошке. Ничего нового, слушают почти всех как и до этого слушали, про читалово думаю не сильно разниться. Кто в безопасность ударился - тем похуй, для всех других ничего нового.
Комментарий недоступен
Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте, что тут писалось. Я вполне понимаю, что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальные просто не найдут.
Живёшь в розовом мире без прослушки? Сладко тебе.
Комментарий недоступен
Курсач по гаданию? Вот смешно, правда)
Господи, блядь, редакция ТЖ, ну консультируйтесь хоть немного с техническими специалистами, у вас же есть разработчики в команде.
Вы написали новость про то, что у VK есть API. Всё, больше ничего вы не написали.
Ну и, разумеется, раздули что-то из ничего. Вообще из ничего. Пользователь даёт стороннему приложению разрешение на доступ к своей информации, где здесь проблема блин?
P.S. Палю инсайд. На эту тему можно хоть год статьи каждый день выкатывать. Только не говорите никому. Ссылка на инсайд: https://vk.com/dev
Блять, если сторонний сервис может плейн текст сообщений выдавать никак не авторизуя заходящего, это же натуральная бага ВК. Причем настолько убогая отмазка, что волосы шевелиться начинают. Откуда я, к примеру, могу знать, что "полный" SimilarWeb не может читать переписку конкретного пользователя? Охуевшие, сука.
Комментарий недоступен
Комментарий недоступен
Сторонние приложения с разрешения пользователя могут читать переписку пользователя. Зачем это? Ты, допустим, хочешь пользоваться неофициальным клиентом под андроид от Васи Пупкина. Ты его установила, авторизовалась и пользуешься. Работает оно через API VK и, естественно, запрашивает твои переписки, чтобы ты могла общаться через это приложение с друзьями. Только вот Вася Пупкин ещё зачем-то твои посты сливает в SimilarWeb. Т.е. это вопрос не твоего доверия VK, а твоего доверия Васе.
Комментарий недоступен
ахахха
бэкдорчик для ФСБ))
Комментарий удален модератором
А то казалось бы, зачем в ВК нужны ссылки на страницы с перепиской пользователей, которые доступны любому пользователю.
Звучит как реклама SimilarWeb
Скорее, как реклама Телеграма
Не баг, а фича
Комментарий недоступен
ну не СЕО, а SEO, епт.
Это типа пользователи себе установили какое-то левое приложение, а оно их переписку читает? Или SimilarWeb это троян?
Комментарий удален модератором
Нативная реклама SimilarWeb?
Комментарий недоступен