Сервис SimilarWeb открыл личные сообщения некоторых пользователей «ВКонтакте»
Представители социальной сети утверждают, что это не баг сайта.
Анонимный исследователь под ником yoga2016 обнаружил уязвимость в API «ВКонтакте», позволяющую свободно извлекать сообщения из личной переписки пользователей. Он сразу же сообщил о находке в службу поддержки, однако ему отказали в выплате средств по программе Bug Bounty.
«Маркетинговый шпион»
SimilarWeb — это инструмент для отслеживания статистики сайтов из поисковых систем. Yoga2016 использовал сервис для анализа «ВКонтакте» и случайно получил ссылки на XML-файлы, содержащие личные сообщения 300 случайных пользователей.
Структура запросов выглядит следующим образом:
https://api.vk.com/method/messages.getHistory.xml?chat_id=
https://api.vk.com/method/messages.getHistory?user_id=
Переписки можно было выгрузить, приписав к концу адресного запроса .xml. В файлах содержится разметка с полными текстами сообщений, а также все прикреплённые материалы (фотографии, документы).
Пресс-служба «ВКонтакте» заявила, что раскрытие личных данных не связано с ошибкой в функционировании сайта. Вероятнее всего, утечка произошла из-за недобросовестных или невнимательных сторонних разработчиков, имеющих доступ к API социальной сети. При этом было отмечено, что пользователи скомпрометированных страниц добровольно дали доступ к своим личным данным в настройках приватности.
Специалисты «ВКонтакте» уже заблокировали открытые токены и ведут расследование.
Представители социальной сети утверждают, что это не баг сайта.
Анонимный исследователь под ником yoga2016 обнаружил уязвимость в API «ВКонтакте», позволяющую свободно извлекать сообщения из личной переписки пользователей. Он сразу же сообщил о находке в службу поддержки, однако ему отказали в выплате средств по программе Bug Bounty.
«Маркетинговый шпион»
SimilarWeb — это инструмент для отслеживания статистики сайтов из поисковых систем. Yoga2016 использовал сервис для анализа «ВКонтакте» и случайно получил ссылки на XML-файлы, содержащие личные сообщения 300 случайных пользователей.
Структура запросов выглядит следующим образом:
https://api.vk.com/method/messages.getHistory.xml?chat_id=
https://api.vk.com/method/messages.getHistory?user_id=
Переписки можно было выгрузить, приписав к концу адресного запроса .xml. В файлах содержится разметка с полными текстами сообщений, а также все прикреплённые материалы (фотографии, документы).
Пресс-служба «ВКонтакте» заявила, что раскрытие личных данных не связано с ошибкой в функционировании сайта. Вероятнее всего, утечка произошла из-за недобросовестных или невнимательных сторонних разработчиков, имеющих доступ к API социальной сети. При этом было отмечено, что пользователи скомпрометированных страниц добровольно дали доступ к своим личным данным в настройках приватности.
Специалисты «ВКонтакте» уже заблокировали открытые токены и ведут расследование.