Речь не идёт об уязвимости «ВКонтакте». Сторонние разработчики имеют доступ к открытому API нашей площадки.
Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений.
Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.
В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.
Мы настоятельно рекомендуем устанавливать официальные приложения «ВКонтакте» и не пользоваться непроверенными клиентами.
ВК в 2018м году передаёт токен прямо в URL, полностью открыто, так что простая индексация страницы позволяет получить доступ кому угодно...и обвиняет в этом сторонних разработчиков.
Хочется подкинуть ещё оправданий:
- нормальное апи собака съела
- мы болели
- а вот одноклассники тоже так делают, вы же им ничо не говорите
передаёт токен прямо в URLКому передаёт? Вам?
полностью открытоTLS уже отменили?
простая индексация страницы позволяет получить доступ кому угодноМогли бы привести пример?
Комментарий недоступен
Комментарий удалён модератором
API для прогеров из ФСБ
Разработчик отметил, что представители службы безопасности «ВКонтакте» отказались выплатить вознаграждение в рамках программы Bug Bounty.
Это не баг, это фича )) Для кого? Для кого нужно!
Если это сторонний клиент и пользователи сами предоставили доступ, то какие претензии к вк? Какие-то нубы плюсуют автора выше