Сервис SimilarWeb открыл личные сообщения некоторых пользователей «ВКонтакте»
Анонимному исследователю удалось скачать переписки 300 пользователей «ВКонтакте» в виде XML-файлов, которые выслал сервис для отслеживания статистики сайтов SimilarWeb. Разработчики уверены, что в этом виноваты недобросовестные пользователи приватного API сайта.
UPD 07.03 17:50. Пресс-служба «ВКонтакте» сообщила, что причиной утечки сообщений стало «использование ненадежных VPN-сервисов».
Анонимный исследователь под ником yoga2016 обнаружил уязвимость в API «ВКонтакте», позволяющую свободно извлекать сообщения из личной переписки пользователей. Он сразу же сообщил о находке в службу поддержки, однако ему отказали в выплате средств по программе Bug Bounty.
«Маркетинговый шпион»
SimilarWeb — это инструмент для отслеживания статистики сайтов из поисковых систем. Yoga2016 использовал сервис для анализа «ВКонтакте» и случайно получил ссылки на XML-файлы, содержащие личные сообщения 300 случайных пользователей.
Структура запросов выглядит следующим образом:
Переписки можно было выгрузить, приписав к концу адресного запроса .xml. В файлах содержится разметка с полными текстами сообщений, а также все прикреплённые материалы (фотографии, документы).
Пресс-служба «ВКонтакте» заявила, что раскрытие личных данных не связано с ошибкой в функционировании сайта. Вероятнее всего, утечка произошла из-за недобросовестных или невнимательных сторонних разработчиков, имеющих доступ к API социальной сети. При этом было отмечено, что пользователи скомпрометированных страниц добровольно дали доступ к своим личным данным в настройках приватности.
Специалисты «ВКонтакте» уже заблокировали открытые токены и ведут расследование.