Лого vc.ru

Уязвимость в рассылках компаний по адресам @post.vk.com + Update

Уязвимость в рассылках компаний по адресам @post.vk.com  + Update
Поделиться
С нами связался представитель компании KupiVIP Сергей Гридчин, который занимается SEO:
Изучая выдачу в поиске по блогам яндекса, обнаружил, что рассылки фирмы индексируются и вываливаются в поиск через стену ВКонтакте.

В каждом сообщении была уникальная ссылка, которая автоматически авторизовала любого человека на сайте и открывала доступ к профилю на сайте.

Пример Биглиона.

После обнаружения уязвимости, KupiVIP приняли решение приостановить рассылку, а старые адреса уничтожить.

То же самое советую делать и другим компаниям, которые совершают рассылку на адреса  @post.vk.com:

  • Topface.com - автоматический вход на сайт, доступ к личной переписке

  • Facebook.com - возможность кражи профиля

  • Biglion.ru - автоматический вход на сайт

  • Kupikupon.ru - автоматический вход на сайт

  • worldoftanks.ru - возможность кражи пароля

  • Fotos.ua - домашний адрес, история заказов


 



Мы связались с разработчиками ВКонтакте и попытаемся выяснить, каким образом можно оперативно решить эту проблему. Чья тут вина - компаний, которые рассылают письма, ВКонтакте, или пользователей соцсети, который зачем-то постят письма к себе на стену - пока непонятно.

Update: комментарий ведущего разработчика ВК Олега Илларионова:

Популярные статьи
Показать еще