Игра Яндекс Практикума
Игра Яндекс Практикума
Игра Яндекс Практикума

Сервис SimilarWeb открыл личные сообщения некоторых пользователей «ВКонтакте»

Новости

Представители социальной сети утверждают, что это не баг сайта.

3К открытий3К показов

UPD 07.03 17:50. Пресс-служба «ВКонтакте» сообщила, что причиной утечки сообщений стало «использование ненадежных VPN-сервисов».

Анонимный исследователь под ником yoga2016 обнаружил уязвимость в API «ВКонтакте», позволяющую свободно извлекать сообщения из личной переписки пользователей. Он сразу же сообщил о находке в службу поддержки, однако ему отказали в выплате средств по программе Bug Bounty.

«Маркетинговый шпион»

SimilarWeb — это инструмент для отслеживания статистики сайтов из поисковых систем. Yoga2016 использовал сервис для анализа «ВКонтакте» и случайно получил ссылки на XML-файлы, содержащие личные сообщения 300 случайных пользователей.

Структура запросов выглядит следующим образом:

			https://api.vk.com/method/messages.getHistory.xml?chat_id=
https://api.vk.com/method/messages.getHistory?user_id=
		

Переписки можно было выгрузить, приписав к концу адресного запроса .xml. В файлах содержится разметка с полными текстами сообщений, а также все прикреплённые материалы (фотографии, документы).

Пресс-служба «ВКонтакте» заявила, что раскрытие личных данных не связано с ошибкой в функционировании сайта. Вероятнее всего, утечка произошла из-за недобросовестных или невнимательных сторонних разработчиков, имеющих доступ к API социальной сети. При этом было отмечено, что пользователи скомпрометированных страниц добровольно дали доступ к своим личным данным в настройках приватности.

Специалисты «ВКонтакте» уже заблокировали открытые токены и ведут расследование.

Следите за новыми постами
Следите за новыми постами по любимым темам
3К открытий3К показов