Неназванный разработчик, скрывающийся за ником Yoga2016, обнаружил возможность прочитать личные послания пользователей " ВКонтакте" через сторонний сервис онлайн-статистики SimilarWeb. В пресс-службе соцсети объяснили, что уязвимостью это не является.
О находке Yoga2016 поведал изданию TJ. Платная версия SimilarWeb дает возможность просмотреть 300 наиболее популярных материалов любого интернет представительства. Сделав такой запрос по vk. Com, разработчик неожиданно получил ссылки, по которым через API " ВКонтакте" при помощи присутствующих в ссылке специальных токенов — своего рода кодов доступа — открывались личные послания 300 случайных пользователей социальной сети.
Определенные полученные ссылки содержали идентификатор пользователя, что дает возможность сопоставить переписку с конкретным человеком, если он зарегистрирован во " ВКонтакте" под реальным именем. В переписках, доступных через SimilarWeb, обнаруживались личные фотографии, документы, и даже пароли к сторонним сервисам.
Yoga2016 сказал, что подавал заявку в программу " ВКонтакте" по вознаграждению за найденные уязвимости, но его письмо проигнорировали, а тред с обсуждением через небольшое время удалили. Разработчик предполагает, что обнаружил " лазейку", которую соцсеть использует, чтобы открывать доступ к переписке пользователей полицейским структурам и секретным службам. Кстати, не так давно блокировку с " ВКонтакте" сняли китайские интернет-цензоры. Как правило, это значит, что администрация прежде блокировавшегося сервиса предоставила секретным службам страны инструменты для наблюдения переписки пользователей и/или блокировки " нежелательной" информации.
В пресс-службе " ВКонтакте" в отклик на запрос TJ объяснили произошедшее по другому. В соцсети считают, что виноват разработчик какого-либо из сторонних сервисов, имеющих доступ к данным пользователей. В частности, разрешение " читать" переписку Возможно у альтернативных мобильных приложений-клиентов соцсети — в этом случае пользователи сами дают согласие на доступ программы к своей переписке. Может быть, создатель одного из подобных сервисов не позаботился про то, чтобы защитить получаемые сведения от сканирующих сеть программ-роботов, Например, используемых SimilarWeb, или намеренно отдал данные сервису статистики.
Мы предполагаем, что определенные разработчики могли злоупотребить этими правами и по какой-то причине отдать данные в SimilarWeb. Важно отметить, что так было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.
В текущий момент мы быстро расследуем этот вопрос и уже блокировали подобные токены, чтобы обезопасить пользователей.
Пресс-служба " ВКонтакте"
Дополнение: в поступившем в Вести. Hi-tech уже после исходной публикации этой статьи сообщении пресс-службы " ВКонтакте" приводятся результаты проведенного специалистами соцсети расследования. Ночью Эксперты " ВКонтакте" провели более подробный анализ произошедшего и нашли, что повествование ведется об использовании небезопасных VPN-сервисов, которые передают данные третьим лицам — к примеру, сторонним сервисам аналитики. Уполномоченные " ВКонтакте" подчеркнули, что клиенты сервиса веб-аналитики SimilarWeb получили данные лишь 400 пользователей социальной сети, которые могли отдать ненадёжным VPN-сервисам доступ к своим личным данным. Со своей стороны, не все сервисы аналитики фильтруют передаваемую им данные, так, а так же среди них личные данные, имеют возможность оказаться общедоступны.
В процессе проверки Работники " ВКонтакте" изучили информацию о сетевых запросах пользователей, доступные на SimilarWeb. Среди них обнаружились, к примеру, ключи доступа к API ботов в Telegram (используя такой ключ, можно послать любое письмо от имени чужого бота), история поисковых запросов с интернет-представительств американского ФБР и российского правительства, а также названия не анонсированных проектов с закрытого корпоративного ресурса крупной игровой организации, которую Уполномоченные социальной сети предпочли не называть.
