Сайт TJournal сообщил о серьёзной уязвимости во «ВКонтакте», которая позволяет получить доступ к личной переписке пользователей соцсети.
По словам одного CEO-разработчика под ником Yoga2016, такое возможно осуществить через сервис веб-аналитики SimilarWeb, платные инструменты которого открывают пользователям доступ к 300 самым популярным материалам любого сайта для анализа его посещаемости.
Yoga2016 хотел собрать аналитику во «ВКонтакте», но вместо этого получил ссылки на приватные сообщения 300 случайных пользователей социальной сети. Чтобы их просмотреть разработчик добавил в строчке с адресом «.xml». Кроме текстовых сообщений, в полученной информации по ссылке также можно найти фотографии, id-номера страниц и другие данные пользователей.
Механизм, по которому SimilarWeb отбирает ссылки, не понятен. Это не самые популярные страницы в социальной сети. Редактор TJournal в качестве эксперимента написал наугад одному из пользователей, попавших в список SimilarWeb, после чего нашёл своё сообщение в ссылке.
Представители «ВКонтакте» не считают это своей проблемой, а обнаруженную уязвимость связывают со сторонними приложениями, которые имеют доступ к открытому API.
«Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным. В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей», — сообщили в пресс-службе «ВКонтакте».
Чуть позже социальная сеть обвинила во всём «ненадёжные VPN-сервисы», которые передают данные пользователей третьим лицам, включая сайты, собирающие аналитику. Эти 400 человек, чья переписка попала в открытый доступ, использовали именно такие сервисы. Более того, по словам представителей во «ВКонтакте», в SimilarWeb были обнаружены данные и с других сайтов.
«…Ключи доступа к API ботов Telegram, история поисковых запросов с сайтов американского ФБР и российского правительства, а также названия неанонсированных проектов с закрытого корпоративного ресурса крупной игровой компании», — из сообщения пресс-службы «ВКонтакте».
Во «ВКонтакте» добавили, что настоятельно рекомендуют использовать только официальное приложение социальной сети.
Когда сидел тоже на вк мп3 до блокировки.