Пользователь обнаружил возможность читать переписку пользователей «ВКонтакте» через сервис аналитики SimilarWeb Статьи редакции
Анонимный разработчик рассказал TJ об уязвимости «ВКонтакте», которая позволила клиентам сервиса веб-аналитики SimilarWeb получить доступ к приватным сообщениям некоторых пользователей соцсети.
По словам пользователя yoga2016, инструменты платной версии SimilarWeb позволяют просматривать 300 самых популярных материалов любого сайта. Однако при попытке получить данные «ВКонтакте» сервис выдал ссылки на сообщения случайных пользователей соцсети.
Разработчик отметил, что представители службы безопасности «ВКонтакте» отказались выплатить вознаграждение в рамках программы Bug Bounty.
Чтобы просмотреть переписки, разработчик добавил к адресам страниц «.xml». В полученных данных отображаются текстовые сообщения, смайлики, фото, а также id страниц пользователей. При этом часть сообщений дублируется в данных, полученных из разных ссылок, отмечает издание.
Алгоритм, по которому сервис отбирает страницы из «ВКонтакте», неизвестен — у части пользователей, попавших в список, меньше 50 друзей в соцсети, отмечает TJ.
Кроме того, отправив сообщение одному из участников списка, редактор TJ обнаружил своё сообщение по ссылке из SimilarWeb.
Представители «ВКонтакте» отказались признавать уязвимость и предположили, что в открытый доступ попали сообщения пользователей неофициальных клиентов соцсети.
Речь не идёт об уязвимости «ВКонтакте». Сторонние разработчики имеют доступ к открытому API нашей площадки.
Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений.
Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.
В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.
Мы настоятельно рекомендуем устанавливать официальные приложения «ВКонтакте» и не пользоваться непроверенными клиентами.
ВК в 2018м году передаёт токен прямо в URL, полностью открыто, так что простая индексация страницы позволяет получить доступ кому угодно...и обвиняет в этом сторонних разработчиков.
Хочется подкинуть ещё оправданий:
- нормальное апи собака съела
- мы болели
- а вот одноклассники тоже так делают, вы же им ничо не говорите
Кому передаёт? Вам?
полностью открытоTLS уже отменили?
простая индексация страницы позволяет получить доступ кому угодноМогли бы привести пример?
1) От клиента к серверу
2) Причем здесь TLS то? Шифрование конечно не позволяет перехватить эти данные во время запроса, но Константин и не об этом.
3) Первая картинка из статьи
1) В чем проблема передачи токена в URL при использовании TLS кроме как, например, в появлении его в логах сервера, где его может увидеть админ?
2) Тогда о чём?
3) Я вижу на картинке, что кто-то слил свои запросы к API VK вместе с access_token. Каким образом это является уязвимостью VK?
Комментарий недоступен
Комментарий удален модератором
мой мир для бизнесменов
инфобизнесменов
Комментарий недоступен
А Skype - файлообменник)
телеграм для сына маминой подруги
Все люди фреймы
API для прогеров из ФСБ
Это не баг, это фича )) Для кого? Для кого нужно!
Если это сторонний клиент и пользователи сами предоставили доступ, то какие претензии к вк? Какие-то нубы плюсуют автора выше
Комментарий недоступен
Только если значок ютуба вместо фото)))
Комментарий недоступен
Обидно
Ещё бы инфа с серваков удалилась, тогда это имело бы смысл
Это уязвимость апи, если через него можно получить защищенные данные пользователя, при этом так легко. Получить доступ к апи может любой, создаешь "приложение" в кабинете вк, и вауля. Смущает в первую очередь что ссылки в скрине ведут на сервак вк, а не сторонний сервер приложения, который бы мог быть виновным, если крал доступ к аккаунту пользователя, а потом парсил их в публичный доступ. В этом случае ссылочки с xml были бы на сервер приложения воришки.
Ахаха, апи для того и существует, чтобы отдавать данные.
Ну вот есть запрос, который с токеном отдаёт сообщения пользователя.
Как защититься от кэширования запроса, если какой-нибудь долбоеб его отдаст в симиларвеб или ещё куда?
UPD. А, да, не подумал, что токен надо в хедере передавать.
ну никак, никто в урле токены не показывает, кроме вк как оказалось
Странно, что минусят.
Комментарий удален модератором
держи нас в курсе.
А сейчас чем пользуешься?
Telegram :)
Комментарий удален модератором
Комментарий удален модератором
Комментарий недоступен
Комментарий удален модератором
Комментарий недоступен
А кто же?
Явно не клиент, у него же лапки.
Странно что не попытались это все еще и привязать к какой-нибудь ос или иному предмету холиваров.
Комментарий недоступен
Как связаться с этим анонимным разработчиком, yoga2016?
https://vk.com/yoga2016
lol))
Ну зачем так палить тему 🤭, теперь заштопают дырку. Опять придётся новую ковырять 😂
Мне кажется я понял, но не факт)))
Речь у представителей ВК идет не о слитых личных переписках, а о выгруженных разным софтом данных. Например подключенный к странице бот имеет фактические доступы к закрытой инфе (л.с.), а куда он ее предоставляет - одним разрабам софта известно.
Или например, излюбленный людьми, одной древней профессии, софт для работы с брут-акками. Где на безопасноть личных данных всем наплевать в самом прямом смысле этого слова.
Ну и не надо забывать про всякие атавизмы типа кэйт-мобайл, который был когда-то очень распространен.
А симилар веб продуманный сервис, он также подтягивает данные с инфополя вокруг ресурса, если есть линки. И этим, как раз, можно объяснить "случайность" засвеченных переписок.
С той же самой рекламы например данные подтягиваются.
Написал коммент до того как увидел оф. инфу от ВК)))
Не совсем понятно ,почему у сторонних приложений есть вообще право на "чтение" сообщение или их выгрузку ,большинству приложений достаточно возможность отправить сообщение пользователю,это процедура должна осуществляться через специальные службы в шифрованном виде. Что касается кейт мобайл и прочих "дублей" официального приложения....То,тут должна быть официальная сертификация ,думаю ,что майл ру в состояние себе это позволить.
Очень похожая ситуация была со сканером отпечатка пальца на андройде (когда они только появились),было десятки их реализаций,доходило до того...что данные отпечатка хранились в обычной папке в памяти устройства....так было до того ,пока гугл не ввели обязательную сертификацию
Официальную сертификацию легко пройти через обновления, которые загружаются вне маркетов. Установили нормальное приложение, а через пару апдейтов оно сливает все ваши данные. Взять тот же CCleaner.
Комментарий удален модератором
саундтрек к вашему сообщению
Меня одного зацепила другая часть текста, вместо ключевой?
инструменты платной версии SimilarWeb позволяют просматривать 300 самых популярных материалов любого сайтаЭто действительно так? Кто в теме, подскажите, пожалуйста.
А что вас удивляет?
Всё новое это хорошо забытое старое
Почему отказались выплатит вознаграждение ?
Это очень серьезная уязвимость .
Обратите внимание ,что администрация ВК только расследует этот вопрос :
@
В настоящий момент мы оперативно расследуем этот вопрос
@
если процесс только идет,а не закончен,то от куда вот эти данные :
@
Речь не идёт об уязвимости «ВКонтакте»
@ ????????????????????
Это первое,второе если вы предоставляете свое API третьим лицам ,то почему не следите за сохранность данных ваших пользователей ?
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором