Во ВКонтакте найдена уязвимость, позволяющая читать личную переписку пользователей через сервис аналитики SimilarWeb.
По словам анонимного пользователя сервиса, при попытке загрузить 300 самых популярных материалов ВК сервис выдает сообщения случайных пользователей. Если к полученным адресам добавить «.xml», то можно просмотреть переписки, включая прикрепленные файлы и id-страниц.
Разработчик сообщил соцсети о найденной уязвимости. Администрация ВКонтакте не признала наличие уязвимости и отказалась выплатить вознаграждение, положенное за найденные уязвимости по программе Bug Bounty.
Представители ВКонтакте утверждают, что пользователи аккаунтов, сообщения которых попали в публичный доступ, использовали небезопасные VPN-сервисы, передающие данные сторонним сервисам.
Сергей Кубасов, директор по технологиям ВКонтакте:
Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.
Представители соцсети рекомендуют использовать только сервисы от проверенных разработчиков. Что касается ВКонтакте, рекомендуется пользоваться последней версией официального приложения, так как в ней встроена защита от перехвата https-трафика.
Напомним, в середине февраля в десктопной версии Telegram была обнаружена уязвимость, позволяющая злоумышленникам «маскировать» вредоносные программы за картинками.
Источник: пресс-релиз ВКонтакте