Главная » Hi-Tech » Переписку пользователей "ВКонтакте" прочитали через сторонний сервис

Переписку пользователей "ВКонтакте" прочитали через сторонний сервис

vestihitech Читайте нас в Telegram

Анонимный разработчик, скрывающийся за ником Yoga2016, обнаружил возможность прочитать личные сообщения пользователей «ВКонтакте» через сторонний сервис онлайн-статистики SimilarWeb. В пресс-службе соцсети объяснили, что уязвимостью это не является.

О находке Yoga2016 рассказал изданию TJ. Платная версия SimilarWeb позволяет просмотреть 300 самых популярных материалов любого сайта. Сделав такой запрос по vk.com, разработчик неожиданно получил ссылки, по которым через API «ВКонтакте» с помощью присутствующих в ссылке специальных токенов — своего рода кодов доступа — открывались личные сообщения 300 случайных пользователей социальной сети.

Некоторые полученные ссылки содержали идентификатор пользователя, что позволяет сопоставить переписку с конкретным человеком, если он зарегистрирован во «ВКонтакте» под реальным именем. В переписках, доступных через SimilarWeb, обнаруживались личные фотографии, документы, и даже пароли к сторонним сервисам.

Yoga2016 сообщил, что подавал заявку в программу «ВКонтакте» по вознаграждению за найденные уязвимости, однако его сообщение проигнорировали, а тред с обсуждением через небольшое время удалили. Разработчик предполагает, что обнаружил «лазейку», которую социальная сеть использует, чтобы открывать доступ к переписке пользователей правоохранительным органам и спецслужбам.

В пресс-службе «ВКонтакте» в ответ на запрос TJ объяснили произошедшее иначе. В соцсети считают, что виноват разработчик какого-либо из сторонних сервисов, имеющих доступ к данным пользователей. Например, разрешение «читать» переписку может быть у альтернативных мобильных приложений-клиентов соцсети — в этом случае пользователи сами дают согласие на доступ программы к своей переписке. Возможно, создатель одного из подобных сервисов не позаботился о том, чтобы защитить получаемые данные от сканирующих сеть программ-роботов, в частности, используемых SimilarWeb, или намеренно передал сведения сервису статистики.

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.

В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.

Пресс-служба «ВКонтакте»