Пользователь обнаружил возможность читать переписку пользователей «ВКонтакте» через сервис аналитики SimilarWeb
Анонимный разработчик рассказал TJ об уязвимости «ВКонтакте», которая позволила клиентам сервиса веб-аналитики SimilarWeb получить доступ к приватным сообщениям некоторых пользователей соцсети.
ВК в 2018м году передаёт токен прямо в URL, полностью открыто, так что простая индексация страницы позволяет получить доступ кому угодно...и обвиняет в этом сторонних разработчиков.
Хочется подкинуть ещё оправданий:
- нормальное апи собака съела
- мы болели
- а вот одноклассники тоже так делают, вы же им ничо не говорите
передаёт токен прямо в URLКому передаёт? Вам?
полностью открытоTLS уже отменили?
простая индексация страницы позволяет получить доступ кому угодноМогли бы привести пример?
Комментарий недоступен
API для прогеров из ФСБ
Разработчик отметил, что представители службы безопасности «ВКонтакте» отказались выплатить вознаграждение в рамках программы Bug Bounty.
Это не баг, это фича )) Для кого? Для кого нужно!
Если это сторонний клиент и пользователи сами предоставили доступ, то какие претензии к вк? Какие-то нубы плюсуют автора выше
Комментарий недоступен
Только если значок ютуба вместо фото)))
Ещё бы инфа с серваков удалилась, тогда это имело бы смысл
Это уязвимость апи, если через него можно получить защищенные данные пользователя, при этом так легко. Получить доступ к апи может любой, создаешь "приложение" в кабинете вк, и вауля. Смущает в первую очередь что ссылки в скрине ведут на сервак вк, а не сторонний сервер приложения, который бы мог быть виновным, если крал доступ к аккаунту пользователя, а потом парсил их в публичный доступ. В этом случае ссылочки с xml были бы на сервер приложения воришки.
Ахаха, апи для того и существует, чтобы отдавать данные.
Ну вот есть запрос, который с токеном отдаёт сообщения пользователя.
Как защититься от кэширования запроса, если какой-нибудь долбоеб его отдаст в симиларвеб или ещё куда?
UPD. А, да, не подумал, что токен надо в хедере передавать.
Странно, что минусят.
держи нас в курсе.
А сейчас чем пользуешься?
Комментарий недоступен
Комментарий недоступен
А кто же?
Явно не клиент, у него же лапки.
Странно что не попытались это все еще и привязать к какой-нибудь ос или иному предмету холиваров.
Как связаться с этим анонимным разработчиком, yoga2016?
https://vk.com/yoga2016
Ну зачем так палить тему 🤭, теперь заштопают дырку. Опять придётся новую ковырять 😂
Мне кажется я понял, но не факт)))
Речь у представителей ВК идет не о слитых личных переписках, а о выгруженных разным софтом данных. Например подключенный к странице бот имеет фактические доступы к закрытой инфе (л.с.), а куда он ее предоставляет - одним разрабам софта известно.
Или например, излюбленный людьми, одной древней профессии, софт для работы с брут-акками. Где на безопасноть личных данных всем наплевать в самом прямом смысле этого слова.
Ну и не надо забывать про всякие атавизмы типа кэйт-мобайл, который был когда-то очень распространен.
А симилар веб продуманный сервис, он также подтягивает данные с инфополя вокруг ресурса, если есть линки. И этим, как раз, можно объяснить "случайность" засвеченных переписок.
С той же самой рекламы например данные подтягиваются.
Написал коммент до того как увидел оф. инфу от ВК)))
саундтрек к вашему сообщению
Меня одного зацепила другая часть текста, вместо ключевой?
инструменты платной версии SimilarWeb позволяют просматривать 300 самых популярных материалов любого сайтаЭто действительно так? Кто в теме, подскажите, пожалуйста.
А что вас удивляет?
Всё новое это хорошо забытое старое
Почему отказались выплатит вознаграждение ?
Это очень серьезная уязвимость .
Обратите внимание ,что администрация ВК только расследует этот вопрос :
@
В настоящий момент мы оперативно расследуем этот вопрос
@
если процесс только идет,а не закончен,то от куда вот эти данные :
@
Речь не идёт об уязвимости «ВКонтакте»
@ ????????????????????
Это первое,второе если вы предоставляете свое API третьим лицам ,то почему не следите за сохранность данных ваших пользователей ?