Обнаружен способ читать переписку юзеров ВКонтакте через сервис SimilarWeb
Анонимный разработчик сообщил изданию TJ о найденной уязвимости ВКонтакте, которая позволяет клиентам системы аналитики SimilarWeb читать личные сообщения некоторых пользователей соцсети.
По словам разработчика, возможности платной версии SimilarWeb дают возможность просматривать 300 наиболее популярных материалов любого сайта. Однако при попытке получить данные ВКонтакте сервис выдал ссылки на личные сообщения случайных пользователей соцсети.
Разработчик также сообщил, что представители службы безопасности ВКонтакте отказались платить вознаграждение в рамках программы Bug Bounty.
Чтобы посмотреть переписку, разработчик добавил к адресам страниц «.xml». В полученных данных отобразились текстовые сообщения, фото, эмодзи и id пользователей. Часть сообщений при этом дублируется в данных, полученных из разных ссылок. Представители ВКонтакте отказались признать наличие уязвимости. Они предположили, что в открытый доступ попали сообщения юзеров из неофициальных клиентов соцсети.
Ночью специалисты ВКонтакте, в свою очередь, сообщают, что провели более подробный анализ произошедшего и обнаружили, что речь идёт об использовании небезопасных VPN-сервисов, которые передают данные третьим лицам. Речь, к примеру, о сторонних сервисах аналитики. Клиенты SimilarWeb получили данные только 400 юзеров соцсети, которые могли передать ненадёжным VPN-сервисам доступ к своим личным данным. Представители ВКонтакте отмечают, что не все сервисы аналитики фильтруют передаваемую им информацию. Таким образом персональные данные могут оказаться общедоступны.
Комментарий пресс-службы соцсети:
В процессе проверки сотрудники ВКонтакте изучили данные о сетевых запросах пользователей, доступные на SimilarWeb. Среди них обнаружились, например, ключи доступа к API ботов в Telegram (используя такой ключ, можно отправить любое сообщение от имени чужого бота), история поисковых запросов с сайтов американского ФБР и российского правительства, а также названия не анонсированных проектов с закрытого корпоративного ресурса крупной игровой компании.
Специалисты ВКонтакте настоятельно порекомендовали не использовать VPN-сервисы от непроверенных разработчиков, а также установить последнюю версию официального приложения «ВКонтакте», в котором встроена защита от перехвата https-трафика.
Источник: TJ
Подписывайся!
ВКонтакте
Случилось что-то важное? Поделитесь новостью с редакцией.
