Пользователь обнаружил возможность читать переписку пользователей «ВКонтакте» через сервис аналитики SimilarWeb

Анонимный разработчик рассказал TJ об уязвимости «ВКонтакте», которая позволила клиентам сервиса веб-аналитики SimilarWeb получить доступ к приватным сообщениям некоторых пользователей соцсети.

По словам пользователя yoga2016, инструменты платной версии SimilarWeb позволяют просматривать 300 самых популярных материалов любого сайта. Однако при попытке получить данные «ВКонтакте» сервис выдал ссылки на сообщения случайных пользователей соцсети.

Разработчик отметил, что представители службы безопасности «ВКонтакте» отказались выплатить вознаграждение в рамках программы Bug Bounty.

Ссылки на переписки некоторых пользователей «ВКонтакте», полученные через SimilarWeb
Ссылки на переписки некоторых пользователей «ВКонтакте», полученные через SimilarWeb

Чтобы просмотреть переписки, разработчик добавил к адресам страниц «.xml». В полученных данных отображаются текстовые сообщения, смайлики, фото, а также id страниц пользователей. При этом часть сообщений дублируется в данных, полученных из разных ссылок, отмечает издание.

Алгоритм, по которому сервис отбирает страницы из «ВКонтакте», неизвестен — у части пользователей, попавших в список, меньше 50 друзей в соцсети, отмечает TJ.

Кроме того, отправив сообщение одному из участников списка, редактор TJ обнаружил своё сообщение по ссылке из SimilarWeb.

Пользователь обнаружил возможность читать переписку пользователей «ВКонтакте» через сервис аналитики SimilarWeb
Пользователь обнаружил возможность читать переписку пользователей «ВКонтакте» через сервис аналитики SimilarWeb

Представители «ВКонтакте» отказались признавать уязвимость и предположили, что в открытый доступ попали сообщения пользователей неофициальных клиентов соцсети.

Речь не идёт об уязвимости «ВКонтакте». Сторонние разработчики имеют доступ к открытому API нашей площадки.

Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений.

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.

В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.

Мы настоятельно рекомендуем устанавливать официальные приложения «ВКонтакте» и не пользоваться непроверенными клиентами.

представители соцсети «ВКонтакте»
1818
43 комментария

ВК в 2018м году передаёт токен прямо в URL, полностью открыто, так что простая индексация страницы позволяет получить доступ кому угодно...и обвиняет в этом сторонних разработчиков.

Хочется подкинуть ещё оправданий:

- нормальное апи собака съела
- мы болели
- а вот одноклассники тоже так делают, вы же им ничо не говорите

21

передаёт токен прямо в URLКому передаёт? Вам?
полностью открытоTLS уже отменили?
простая индексация страницы позволяет получить доступ кому угодноМогли бы привести пример?

3

Комментарий недоступен

32

Комментарий удалён модератором

API для прогеров из ФСБ

27

Разработчик отметил, что представители службы безопасности «ВКонтакте» отказались выплатить вознаграждение в рамках программы Bug Bounty.

Это не баг, это фича )) Для кого? Для кого нужно!

19

Если это сторонний клиент и пользователи сами предоставили доступ, то какие претензии к вк? Какие-то нубы плюсуют автора выше

7