Сервис SimilarWeb открыл личные сообщения некоторых пользователей «ВКонтакте»

UPD 07.03 17:50. Пресс-служба «ВКонтакте» сообщила, что причиной утечки сообщений стало «использование ненадежных VPN-сервисов».

Анонимный исследователь под ником yoga2016 обнаружил уязвимость в API «ВКонтакте», позволяющую свободно извлекать сообщения из личной переписки пользователей. Он сразу же сообщил о находке в службу поддержки, однако ему отказали в выплате средств по программе Bug Bounty.

«Маркетинговый шпион»

SimilarWeb — это инструмент для отслеживания статистики сайтов из поисковых систем. Yoga2016 использовал сервис для анализа «ВКонтакте» и случайно получил ссылки на XML-файлы, содержащие личные сообщения 300 случайных пользователей.

Структура запросов выглядит следующим образом:

			https://api.vk.com/method/messages.getHistory.xml?chat_id=
https://api.vk.com/method/messages.getHistory?user_id=
		

Переписки можно было выгрузить, приписав к концу адресного запроса .xml. В файлах содержится разметка с полными текстами сообщений, а также все прикреплённые материалы (фотографии, документы).

Пресс-служба «ВКонтакте» заявила, что раскрытие личных данных не связано с ошибкой в функционировании сайта. Вероятнее всего, утечка произошла из-за недобросовестных или невнимательных сторонних разработчиков, имеющих доступ к API социальной сети. При этом было отмечено, что пользователи скомпрометированных страниц добровольно дали доступ к своим личным данным в настройках приватности.

Специалисты «ВКонтакте» уже заблокировали открытые токены и ведут расследование.