Школьник получил $3 тысячи от «ВКонтакте» и ICQ за найденный при подготовке к ЕГЭ способ взлома аккаунтов

Илья Глебов из Мончегорска получил от «ВКонтакте» и ICQ $3 тысячи за найденную уязвимость, которая позволяла взламывать профили в сервисах. Проблема затрагивала почти все аккаунты в соцсети и мессенджере, пишет ITMO.News.

В интервью Глебов рассказал, что готовился к ЕГЭ по информатике, но решил отвлечься и нашёл статью 2016 года о взломах в Facebook. Тогда он попробовал применить такой же метод во «ВКонтакте».

Эту задачу я делал где-то в течение двух дней, хотя по общему времени она заняла часа четыре. Уязвимость заключалась в том, что [во «ВКонтакте»] есть сессия, и по этой сессии генерируется код восстановления, который отправляется на телефон. Но никто не предполагал, что сессии могут быть одинаковыми.

Я же сделал так, что сессии были действительно одинаковые: то есть одинаковый код можно отправить на разные телефоны. Эта уязвимость позволяла взломать большинство аккаунтов в социальной сети, в безопасности были только аккаунты с двухфакторной авторизацией (у них нельзя делать восстановление по номеру телефона). Подробно ход работы описан на Habrahabr. ​

— Илья Глебов

После обнаружения уязвимости Глебов сообщил о ней сначала во «ВКонтакте» через программу вознаграждений на HackerOne, а затем в ICQ. «Уже через 17 часов уязвимость была устранена. Спустя несколько дней мне выплатили $2 тысячи. В программе от ICQ мне была сделана доплата в размере $1 тысячи», — сказал он.

Глебов сказал, что хотел бы поступить в ИТМО. После этого декан факультета информационной безопасности и компьютерных технологий университета Данил Заколдаев пригласил его на обучение по программе «Технологии защиты информации» за счёт бюджета вуза.

99
27 комментариев

Они не только дизайн копируют но и баги/уязвимости
<смешная картинка на тему />

24

Вот не надо про дизайн сказки рассказывать. Дизайн и функционал вк гораздо лучше, чем фб.

21

Мне одному $3 тысячи глаза сломало?

24