BugBounty: раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph

Исследователь безопасности обнаружил в Telegram для web 3 уязвимости:

  • Disclosure Information - позволяет получить доступ к 5 000 000 ссылкам для доступа к приватным чатам. В данный момент уязвимость не исправлена и разработчики не исправляют её уже 3,5 месяца.
  • Open Redirect.
  • CSRF - позволяет отредактировать любую статью на telegra.ph, если автор статьи просто перейдет по ссылке.

Подробности по ссылке:

77
5 комментариев

"...Я отправил эти уязвимости на security@telegram.org, как и сказано в их сообщении о bug bounty, также, упоминание о bug bounty есть на площадке BugCrowd.

  Долгое время я не получал ответа. Потом я написал Павлу Дурову (это было глупо, согласен, ведь ему, кроме меня пишет много людей, и он не читает личные сообщения), а также, попросил знакомых поделиться контактами разработчиков. Отправил сообщение разработчику t.me/dmitry, но ему было все равно на уязвимости, он просто прочитал и проигнорировал письмо. Потом отправил письмо vk.com/antanubis. Он передал, чтобы проверили ящик и приняли мои уязвимости. Уже через 9 дней после репорта мне ответили...."

Хм...
Т.е. vk отвечает об уязвимостях в ТГ?
Говорим VK, подразумеваем ТГ?

3
Ответить
Автор

http://vk.com/antanubis - это связь с разработчиком telegram

Ответить

Заинвайтился через яндекс в овер 20 приватных групп. Хехе.

1
Ответить