Сервис SimilarWeb открыл личные сообщения некоторых пользователей «ВКонтакте»
Новости
Представители социальной сети утверждают, что это не баг сайта.
3К открытий3К показов
UPD 07.03 17:50. Пресс-служба «ВКонтакте» сообщила, что причиной утечки сообщений стало «использование ненадежных VPN-сервисов».
Анонимный исследователь под ником yoga2016 обнаружил уязвимость в API «ВКонтакте», позволяющую свободно извлекать сообщения из личной переписки пользователей. Он сразу же сообщил о находке в службу поддержки, однако ему отказали в выплате средств по программе Bug Bounty.
«Маркетинговый шпион»
SimilarWeb — это инструмент для отслеживания статистики сайтов из поисковых систем. Yoga2016 использовал сервис для анализа «ВКонтакте» и случайно получил ссылки на XML-файлы, содержащие личные сообщения 300 случайных пользователей.
Структура запросов выглядит следующим образом:
Переписки можно было выгрузить, приписав к концу адресного запроса .xml
. В файлах содержится разметка с полными текстами сообщений, а также все прикреплённые материалы (фотографии, документы).
Пресс-служба «ВКонтакте» заявила, что раскрытие личных данных не связано с ошибкой в функционировании сайта. Вероятнее всего, утечка произошла из-за недобросовестных или невнимательных сторонних разработчиков, имеющих доступ к API социальной сети. При этом было отмечено, что пользователи скомпрометированных страниц добровольно дали доступ к своим личным данным в настройках приватности.
Специалисты «ВКонтакте» уже заблокировали открытые токены и ведут расследование.
3К открытий3К показов