Оффтоп Лера Михайлова
22 375

Пользователь обнаружил возможность читать переписку пользователей «ВКонтакте» через сервис аналитики SimilarWeb

Анонимный разработчик рассказал TJ об уязвимости «ВКонтакте», которая позволила клиентам сервиса веб-аналитики SimilarWeb получить доступ к приватным сообщениям некоторых пользователей соцсети.

В закладки

По словам пользователя yoga2016, инструменты платной версии SimilarWeb позволяют просматривать 300 самых популярных материалов любого сайта. Однако при попытке получить данные «ВКонтакте» сервис выдал ссылки на сообщения случайных пользователей соцсети.

Разработчик отметил, что представители службы безопасности «ВКонтакте» отказались выплатить вознаграждение в рамках программы Bug Bounty.

Ссылки на переписки некоторых пользователей «ВКонтакте», полученные через SimilarWeb

Чтобы просмотреть переписки, разработчик добавил к адресам страниц «.xml». В полученных данных отображаются текстовые сообщения, смайлики, фото, а также id страниц пользователей. При этом часть сообщений дублируется в данных, полученных из разных ссылок, отмечает издание.

Алгоритм, по которому сервис отбирает страницы из «ВКонтакте», неизвестен — у части пользователей, попавших в список, меньше 50 друзей в соцсети, отмечает TJ.

Кроме того, отправив сообщение одному из участников списка, редактор TJ обнаружил своё сообщение по ссылке из SimilarWeb.

Представители «ВКонтакте» отказались признавать уязвимость и предположили, что в открытый доступ попали сообщения пользователей неофициальных клиентов соцсети.

Речь не идёт об уязвимости «ВКонтакте». Сторонние разработчики имеют доступ к открытому API нашей площадки.

Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений.

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.

В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.

Мы настоятельно рекомендуем устанавливать официальные приложения «ВКонтакте» и не пользоваться непроверенными клиентами.

представители соцсети «ВКонтакте»

#новость

{ "author_name": "Лера Михайлова", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 44, "likes": 45, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 34315, "is_wide": false }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15395' + '50799') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 34315, "author_id": 78969, "diff_limit": 1000, "urls": {"diff":"\/comments\/34315\/get","add":"\/comments\/34315\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/34315"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

44 комментария 44 комм.

Популярные

По порядку

Написать комментарий...
20

ВК в 2018м году передаёт токен прямо в URL, полностью открыто, так что простая индексация страницы позволяет получить доступ кому угодно...и обвиняет в этом сторонних разработчиков.

Хочется подкинуть ещё оправданий:

- нормальное апи собака съела
- мы болели
- а вот одноклассники тоже так делают, вы же им ничо не говорите

Ответить
0

передаёт токен прямо в URL

Кому передаёт? Вам?
полностью открыто

TLS уже отменили?
простая индексация страницы позволяет получить доступ кому угодно

Могли бы привести пример?

Ответить
4

1) От клиента к серверу
2) Причем здесь TLS то? Шифрование конечно не позволяет перехватить эти данные во время запроса, но Константин и не об этом.
3) Первая картинка из статьи

Ответить
2

1) В чем проблема передачи токена в URL при использовании TLS кроме как, например, в появлении его в логах сервера, где его может увидеть админ?
2) Тогда о чём?
3) Я вижу на картинке, что кто-то слил свои запросы к API VK вместе с access_token. Каким образом это является уязвимостью VK?

Ответить
25

Эту соцсеть уже ничто не спасёт, беги глупцы!

Ответить

Комментарий удален

20

мой мир для бизнесменов

Ответить
5

инфобизнесменов

Ответить
0

Снэпчат для мамкиных бизнесменов

Ответить
0

А Skype - файлообменник)

Ответить
5

телеграм для сына маминой подруги

Ответить
0

Все люди фреймы

Ответить
25

API для прогеров из ФСБ

Ответить
15

Разработчик отметил, что представители службы безопасности «ВКонтакте» отказались выплатить вознаграждение в рамках программы Bug Bounty.

Это не баг, это фича )) Для кого? Для кого нужно!

Ответить
7

Если это сторонний клиент и пользователи сами предоставили доступ, то какие претензии к вк? Какие-то нубы плюсуют автора выше

Ответить
10

Неделю назад удалил страницу, жизнь не изменилась.

Ответить
9

Только если значок ютуба вместо фото)))

Ответить
12

Тихо ты, а то еще аниме на аву втулит.

Ответить
0

Ещё бы инфа с серваков удалилась, тогда это имело бы смысл

Ответить
8

Это уязвимость апи, если через него можно получить защищенные данные пользователя, при этом так легко. Получить доступ к апи может любой, создаешь "приложение" в кабинете вк, и вауля. Смущает в первую очередь что ссылки в скрине ведут на сервак вк, а не сторонний сервер приложения, который бы мог быть виновным, если крал доступ к аккаунту пользователя, а потом парсил их в публичный доступ. В этом случае ссылочки с xml были бы на сервер приложения воришки.

Ответить
3

Ахаха, апи для того и существует, чтобы отдавать данные.

Ответить
2

Ну вот есть запрос, который с токеном отдаёт сообщения пользователя.
Как защититься от кэширования запроса, если какой-нибудь долбоеб его отдаст в симиларвеб или ещё куда?
UPD. А, да, не подумал, что токен надо в хедере передавать.

Ответить
1

ну никак, никто в урле токены не показывает, кроме вк как оказалось

Ответить
1

Странно, что минусят.

Ответить

Комментарий удален

39

держи нас в курсе.
А сейчас чем пользуешься?

Ответить
5

Telegram :)

Ответить

Комментарий удален

Комментарий удален

0

Дуров ушел и стену с собой забрал.

Ответить

Комментарий удален

3

Так это и не баг. Если я сам установил на свой смартфон левое приложение, которое списало деньги у меня с карты, виноват явно не разработчик андроида. Api может использоваться в любых целях.

Ответить
5

А кто же?
Явно не клиент, у него же лапки.
Странно что не попытались это все еще и привязать к какой-нибудь ос или иному предмету холиваров.

Ответить
0

Я почти уверен, что это из-за кривого клиента под симбиан.

Ответить
1

Как связаться с этим анонимным разработчиком, yoga2016?

Ответить
2

Ну зачем так палить тему 🤭, теперь заштопают дырку. Опять придётся новую ковырять 😂

Ответить
1

Мне кажется я понял, но не факт)))

Речь у представителей ВК идет не о слитых личных переписках, а о выгруженных разным софтом данных. Например подключенный к странице бот имеет фактические доступы к закрытой инфе (л.с.), а куда он ее предоставляет - одним разрабам софта известно.
Или например, излюбленный людьми, одной древней профессии, софт для работы с брут-акками. Где на безопасноть личных данных всем наплевать в самом прямом смысле этого слова.
Ну и не надо забывать про всякие атавизмы типа кэйт-мобайл, который был когда-то очень распространен.

А симилар веб продуманный сервис, он также подтягивает данные с инфополя вокруг ресурса, если есть линки. И этим, как раз, можно объяснить "случайность" засвеченных переписок.
С той же самой рекламы например данные подтягиваются.

Ответить
0

Написал коммент до того как увидел оф. инфу от ВК)))

Ответить
0

Не совсем понятно ,почему у сторонних приложений есть вообще право на "чтение" сообщение или их выгрузку ,большинству приложений достаточно возможность отправить сообщение пользователю,это процедура должна осуществляться через специальные службы в шифрованном виде. Что касается кейт мобайл и прочих "дублей" официального приложения....То,тут должна быть официальная сертификация ,думаю ,что майл ру в состояние себе это позволить.
Очень похожая ситуация была со сканером отпечатка пальца на андройде (когда они только появились),было десятки их реализаций,доходило до того...что данные отпечатка хранились в обычной папке в памяти устройства....так было до того ,пока гугл не ввели обязательную сертификацию

Ответить
0

Официальную сертификацию легко пройти через обновления, которые загружаются вне маркетов. Установили нормальное приложение, а через пару апдейтов оно сливает все ваши данные. Взять тот же CCleaner.

Ответить

Комментарий удален

1

саундтрек к вашему сообщению

Ответить
0

Меня одного зацепила другая часть текста, вместо ключевой?
инструменты платной версии SimilarWeb позволяют просматривать 300 самых популярных материалов любого сайта

Это действительно так? Кто в теме, подскажите, пожалуйста.

Ответить
0

А что вас удивляет?

Ответить
0

Всё новое это хорошо забытое старое

Ответить
0

Почему отказались выплатит вознаграждение ?
Это очень серьезная уязвимость .
Обратите внимание ,что администрация ВК только расследует этот вопрос :
@
В настоящий момент мы оперативно расследуем этот вопрос
@
если процесс только идет,а не закончен,то от куда вот эти данные :
@
Речь не идёт об уязвимости «ВКонтакте»
@ ????????????????????
Это первое,второе если вы предоставляете свое API третьим лицам ,то почему не следите за сохранность данных ваших пользователей ?

Ответить
0

Профессиональные услуги взлома:
1.Взлом социальных сетей, работаем с зарубежными сетями.
- взлом вконтакте, взлом vk
- взлом facebook
- взлом ok, взлом одноклассники
- взлом мамба
- взлом loveplanet
И любых других социальных сетей.
2. Взлом почты, взлом корпоративной почты, взлом зарубежной почты.
- yahoo.com
- live.com
- mail.com
- aol.com
- hotmail.com
- mail.ru
- yandex.ru
- bk.ru
- rambler.ru и пр.
- Любая коропоративная или экзотическая почта будет вскрыта...
3. Взлом Skype и любой другой телефонии.
4.- Взлом viber
- whatsapp и любых других приложений.
5.Взлом сайтов и web проектов любой сложности и тематики
- Форумы
- Бизнес сайты
- Сайты визитки
- Коропоративные сайты
И любые другие сайты.
- Анонимность и конфиденциальность полностью соблюдается
- Разумные цены
- Индивидуальный подход к каждому клиенту
- Простейшая и удобная система оплаты: яндекс деньги, webmoney, киви или просто на мобильный телефон которые можно оплатить в любом платёжном терминале
- Постоянным клиентам - солидные скидки
- Профессиональное обучение взлому, результат успешного обучения 100%.
ОБРАЩАТЬСЯ:
*Почта: pomosh.vzloma@gmail.com
*Вконтакте:vk.com/pomosh.vzloma
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Профессиональные услуги взлома:
1.Взлом социальных сетей, работаем с зарубежными сетями.
- взлом вконтакте, взлом vk
- взлом facebook
- взлом ok, взлом одноклассники
- взлом мамба
- взлом loveplanet
И любых других социальных сетей.
2. Взлом почты, взлом корпоративной почты, взлом зарубежной почты.
- yahoo.com
- live.com
- mail.com
- aol.com
- hotmail.com
- mail.ru
- yandex.ru
- bk.ru
- rambler.ru и пр.
- Любая коропоративная или экзотическая почта будет вскрыта...
3. Взлом Skype и любой другой телефонии.
4.- Взлом viber
- whatsapp и любых других приложений.
5.Взлом сайтов и web проектов любой сложности и тематики
- Форумы
- Бизнес сайты
- Сайты визитки
- Коропоративные сайты
И любые другие сайты.
- Анонимность и конфиденциальность полностью соблюдается
- Разумные цены
- Индивидуальный подход к каждому клиенту
- Простейшая и удобная система оплаты: яндекс деньги, webmoney, киви или просто на мобильный телефон которые можно оплатить в любом платёжном терминале
- Постоянным клиентам - солидные скидки
- Профессиональное обучение взлому, результат успешного обучения 100%.
ОБРАЩАТЬСЯ:
*Почта: pomosh.vzloma@gmail.com
*Вконтакте:vk.com/pomosh.vzloma

Ответить

Комментарий удален

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Голосовой помощник выкупил
компанию-создателя
Подписаться на push-уведомления