Пользователь обнаружил возможность читать переписку пользователей «ВКонтакте» через сервис аналитики SimilarWeb

Анонимный разработчик рассказал TJ об уязвимости «ВКонтакте», которая позволила клиентам сервиса веб-аналитики SimilarWeb получить доступ к приватным сообщениям некоторых пользователей соцсети.

1818

ВК в 2018м году передаёт токен прямо в URL, полностью открыто, так что простая индексация страницы позволяет получить доступ кому угодно...и обвиняет в этом сторонних разработчиков.

Хочется подкинуть ещё оправданий:

- нормальное апи собака съела
- мы болели
- а вот одноклассники тоже так делают, вы же им ничо не говорите

21

передаёт токен прямо в URLКому передаёт? Вам?
полностью открытоTLS уже отменили?
простая индексация страницы позволяет получить доступ кому угодноМогли бы привести пример?

3

Комментарий недоступен

32

Комментарий удалён модератором

API для прогеров из ФСБ

27

Разработчик отметил, что представители службы безопасности «ВКонтакте» отказались выплатить вознаграждение в рамках программы Bug Bounty.

Это не баг, это фича )) Для кого? Для кого нужно!

19

Если это сторонний клиент и пользователи сами предоставили доступ, то какие претензии к вк? Какие-то нубы плюсуют автора выше

7

Комментарий недоступен

12

Только если значок ютуба вместо фото)))

9

Ещё бы инфа с серваков удалилась, тогда это имело бы смысл

Это уязвимость апи, если через него можно получить защищенные данные пользователя, при этом так легко. Получить доступ к апи может любой, создаешь "приложение" в кабинете вк, и вауля. Смущает в первую очередь что ссылки в скрине ведут на сервак вк, а не сторонний сервер приложения, который бы мог быть виновным, если крал доступ к аккаунту пользователя, а потом парсил их в публичный доступ. В этом случае ссылочки с xml были бы на сервер приложения воришки.

14

Ахаха, апи для того и существует, чтобы отдавать данные.

4

Ну вот есть запрос, который с токеном отдаёт сообщения пользователя.
Как защититься от кэширования запроса, если какой-нибудь долбоеб его отдаст в симиларвеб или ещё куда?
UPD. А, да, не подумал, что токен надо в хедере передавать.

2

Странно, что минусят.

2

Комментарий удалён модератором

держи нас в курсе.
А сейчас чем пользуешься?

40

Комментарий недоступен

Комментарий недоступен

5

А кто же?
Явно не клиент, у него же лапки.
Странно что не попытались это все еще и привязать к какой-нибудь ос или иному предмету холиваров.

5

Как связаться с этим анонимным разработчиком, yoga2016?

1

Ну зачем так палить тему 🤭, теперь заштопают дырку. Опять придётся новую ковырять 😂

2

Мне кажется я понял, но не факт)))

Речь у представителей ВК идет не о слитых личных переписках, а о выгруженных разным софтом данных. Например подключенный к странице бот имеет фактические доступы к закрытой инфе (л.с.), а куда он ее предоставляет - одним разрабам софта известно.
Или например, излюбленный людьми, одной древней профессии, софт для работы с брут-акками. Где на безопасноть личных данных всем наплевать в самом прямом смысле этого слова.
Ну и не надо забывать про всякие атавизмы типа кэйт-мобайл, который был когда-то очень распространен.

А симилар веб продуманный сервис, он также подтягивает данные с инфополя вокруг ресурса, если есть линки. И этим, как раз, можно объяснить "случайность" засвеченных переписок.
С той же самой рекламы например данные подтягиваются.

1

Написал коммент до того как увидел оф. инфу от ВК)))

Комментарий удалён модератором

саундтрек к вашему сообщению

1

Меня одного зацепила другая часть текста, вместо ключевой?
инструменты платной версии SimilarWeb позволяют просматривать 300 самых популярных материалов любого сайтаЭто действительно так? Кто в теме, подскажите, пожалуйста.

А что вас удивляет?

Всё новое это хорошо забытое старое

Почему отказались выплатит вознаграждение ?
Это очень серьезная уязвимость .
Обратите внимание ,что администрация ВК только расследует этот вопрос :
@
В настоящий момент мы оперативно расследуем этот вопрос
@
если процесс только идет,а не закончен,то от куда вот эти данные :
@
Речь не идёт об уязвимости «ВКонтакте»
@ ????????????????????
Это первое,второе если вы предоставляете свое API третьим лицам ,то почему не следите за сохранность данных ваших пользователей ?