Уязвимость «ВКонтакте» дает возможность узнать все данные пользователей

Как объяснил Ребл, при добавлении человека в закладки сайт отдавал больше данных, чем нужно. Об этом сообщается в группе «Код Дурова» во «ВКонтакте».

Вначале хакер из Челябинска под ником Алекс Ребл пытался найти телефон своей бывшей девушки и добавлял в закладки ее подруг.

Отметим, что телефон бывшей девушки Алексей так и не узнал.

Просто добавив человека в закладки, можно было без усилий узнать его номер телефона и e-mail. «Здесь в разделе „закладки“ я и нашел странность», — сказал Алекс Ребл представителям группы «Код Дурова».

Заключительная ошибка дала возможность получить личные номера и данные некоторых зарегистрированных.

Хакер под ником Алекс Ребл нашел в новом дизайне «ВКонтакте» ошибку, позволяющую узнать персональные данные пользователей, такие как номер телефона и e-mail, информирует печатное издание TJ.

Ребл объявил, что вначале не рассчитывал на вознаграждение за найденную уязвимость, а принял решение привлечь внимание администрации «ВКонтакте», чтобы ошибка была исправлена.

Кроме того, он завладел телефонными номерами операционного директора соц. сети Андрея Рогозова и основного ее разработчика Олега Илларионова.

По утверждению Ребла, вначале он не рассчитывал на вознаграждение за найденную уязвимость, а только принял решение привлечь внимание администрации соцсети для исправления ошибки. Но во «ВКонтакте» попросили его написать отчёт об ошибке на HackerOne — платформе, через которую соцсеть оплачивает вознаграждения за найденные уязвимости.

По мнению Ребла, об ошибке мог знать существенный круг людей — до тысячи человек.

Хакер заявляет, что пытался привлечь внимание администрации «ВКонтакте» к обнаруженной им уязвимости, однако в ответ его попросили расположить отчет об ошибке на HackerOne (это интернет-платформа, через которую социальная сеть награждает пользователей за выявленные при тестировании сайта ошибки). В свою очередь Андрей Рогозов уверил, что уязвимость нового дизайна «ВКонтакте» устранена.

Уполномоченные соцсети подтвердили, что такая ошибка на сайте есть, однако компенсацию хакеру пока не выплатили.

В пресс-центре руководства РФ заверили TJ, что номер телефона, привязанный к аккаунту Дмитрия Медведева во «ВКонтакте», является техническим, принадлежит сотрудникам пресс-службы и не имеет отношения к премьеру.