Анонимный разработчик под ником Yoga2016 нашел способ читать чужую переписку пользователей «ВКонтакте». Об уязвимости соцсети он рассказал специалистам поддержки, однако ответа не получил.

Разработчик использовал для проверки «ВКонтакте» сервис SimilarWeb, который собирает данные о трафике и позволяет увидеть 300 самых популярных материалов конкретного сайта. Yoga2016 удивился, когда вместо самых читаемых страниц получил ссылки на личные сообщения 300 случайных пользователей. Для чего сервис сохраняет эти ссылки, неизвестно.

Разработчику удалось выгрузить несколько историй переписок пользователей: чтобы посмотреть их, он добавил к адресу из SimilarWeb «.xml». Yoga2016 подал заявку в программу, где пользователи могут сообщить об уязвимости соцсети и получить вознаграждение. Заявку проигнорировали, а ветку с обсуждением на эту тему попросту удалили.

По информации TJ, в пресс-службе «ВКонтакте» сообщили, что уязвимость не связана с проблемой соцсети, а создана разработчиками, которые имеют доступ к API (интерфейс прикладного программирования). Они предположили, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. 

Сотрудники соцсети заверили также, что расследуют данный вопрос, чтобы обезопасить пользователей. Они настоятельно рекомендуют не использовать VPN-сервисы от непроверенных разработчиков, а также использовать последнюю версию официального приложения «ВКонтакте», в котором встроена защита от перехвата https-трафика.

Ранее «Ридус» сообщал, что непредвиденный сбой в работе «ВКонтакте» в прошлом году позволил обычным пользователям на время получить доступ к «администраторским» возможностям сайта. В числе таких возможностей — доступ к приватным фото и контактам, чтение личной переписки, функции блокировки и удаления аккаунтов. Тогда пользователи уже высказывали опасения, что модераторы могут использовать эти данные в корыстных целях.

• Телеграм
• Дзен
• Подписывайтесь на наши каналы и первыми узнавайте о главных новостях и важнейших событиях дня.