Пользователь обнаружил возможность читать переписку пользователей «ВКонтакте» через сервис аналитики SimilarWeb
Анонимный разработчик рассказал TJ об уязвимости «ВКонтакте», которая позволила клиентам сервиса веб-аналитики SimilarWeb получить доступ к приватным сообщениям некоторых пользователей соцсети.
По словам пользователя yoga2016, инструменты платной версии SimilarWeb позволяют просматривать 300 самых популярных материалов любого сайта. Однако при попытке получить данные «ВКонтакте» сервис выдал ссылки на сообщения случайных пользователей соцсети.
Разработчик отметил, что представители службы безопасности «ВКонтакте» отказались выплатить вознаграждение в рамках программы Bug Bounty.
Чтобы просмотреть переписки, разработчик добавил к адресам страниц «.xml». В полученных данных отображаются текстовые сообщения, смайлики, фото, а также id страниц пользователей. При этом часть сообщений дублируется в данных, полученных из разных ссылок, отмечает издание.
Алгоритм, по которому сервис отбирает страницы из «ВКонтакте», неизвестен — у части пользователей, попавших в список, меньше 50 друзей в соцсети, отмечает TJ.
Кроме того, отправив сообщение одному из участников списка, редактор TJ обнаружил своё сообщение по ссылке из SimilarWeb.
Представители «ВКонтакте» отказались признавать уязвимость и предположили, что в открытый доступ попали сообщения пользователей неофициальных клиентов соцсети.
Речь не идёт об уязвимости «ВКонтакте». Сторонние разработчики имеют доступ к открытому API нашей площадки.
Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений.
Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.
В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.
Мы настоятельно рекомендуем устанавливать официальные приложения «ВКонтакте» и не пользоваться непроверенными клиентами.