BugBounty: раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
Исследователь безопасности обнаружил в Telegram для web 3 уязвимости:
- Disclosure Information - позволяет получить доступ к 5 000 000 ссылкам для доступа к приватным чатам. В данный момент уязвимость не исправлена и разработчики не исправляют её уже 3,5 месяца.
- Open Redirect.
- CSRF - позволяет отредактировать любую статью на telegra.ph, если автор статьи просто перейдет по ссылке.
Подробности по ссылке:
"...Я отправил эти уязвимости на security@telegram.org, как и сказано в их сообщении о bug bounty, также, упоминание о bug bounty есть на площадке BugCrowd.
Долгое время я не получал ответа. Потом я написал Павлу Дурову (это было глупо, согласен, ведь ему, кроме меня пишет много людей, и он не читает личные сообщения), а также, попросил знакомых поделиться контактами разработчиков. Отправил сообщение разработчику t.me/dmitry, но ему было все равно на уязвимости, он просто прочитал и проигнорировал письмо. Потом отправил письмо vk.com/antanubis. Он передал, чтобы проверили ящик и приняли мои уязвимости. Уже через 9 дней после репорта мне ответили...."
Хм...
Т.е. vk отвечает об уязвимостях в ТГ?
Говорим VK, подразумеваем ТГ?
http://vk.com/antanubis - это связь с разработчиком telegram
Заинвайтился через яндекс в овер 20 приватных групп. Хехе.