Хакер из-за бага в редизайне «ВКонтакте» получил номер Медведева и Дурова

Описанный функционал позволил хакеру узнать номера Павла Дурова, служащих «ВКонтакте» и даже Дмитрия Медведева.

О находке хакер проинформировал в группе «Код Дурова».

Один из администраторов данного сообщества Михаил Верник разъяснил, что хакер пытался через соцсеть «ВКонтакте» связаться со своей бывшей девушкой по имени Кати. Он уточнил, что сумел так получить номер Павла Дурова, чему вначале не поверил, а после этого и Дмитрия Медведева. «Решил добавить ее приятельницу в закладки, чтобы, если что, ей написать. После этого получил номер Дмитрия Медведева — здесь я понял, что это конкретный ляп», — уточнил хакер.

По утверждению взломщика, администрация «ВКонтакте» подтвердила наличие «дыры». По его словам, он отыскал этот баг, когда искал телефонный номер собственной девушки — она сменила его после ссоры.

По утверждению Ребла, он попытался привлечь внимание администрации к проблеме, однако работники «ВКонтакте» попросили его расположить отчет об ошибке на HackerOne, платформе, через которую социальная сеть награждает пользователей за найденные уязвимости.

Однако, как сказал Ребл, он не получил денег за найденную ошибку. Но во «ВКонтакте» попросили его написать отчёт об ошибке на HackerOne — платформе, через которую соцсеть оплачивает вознаграждения за найденные уязвимости.

По утверждению взломщика, администрация «ВКонтакте» подтвердила наличие «дыры», но отказала в полагающейся ему денежной выплате.

Закрытые номера пользователей соцсети можно посмотреть из-за ошибки в новом дизайне.

Кроме того, он завладел телефонными номерами операционного директора соцсети Андрея Рогозова и основного ее разработчика Олега Илларионова.

Ребл же в свою очередь считает, что об ошибке мог знать значимый круг людей — до тысячи человек. Его изумило то, что администрация соцсети не предупредила пользователей об уязвимости и не попросила поменять личные данные.

Сейчас уязвимость VK.COM, которую использовал Алекс Ребл, уже исправили.

Для таких огромных сайтов, как «ВКонтакте», баги и ошибки в коде, к сожалению, неизбежны. Такой недочёт был найден юзером под ником Алекс Ребл, который является хакером.

Сам Ребл объяснил в общении с TJ, что «на HackerOne они месяц отвечают, вот они и приняли решение не платить». Уточнять, был ли номер изменён после сообщения об уязвимости, в пресс-центре руководства не стали, однако сообщили, что предпринимаются все нужные усилия для обеспечения безопасности официальных каналов.

Уязвимость ВКонтакте позволила хакеру узнать номера Дурова и Медведева

Поделитесь своим мнением
Для оформления сообщений Вы можете использовать следующие тэги:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

life event в соц.сетях

© 2018 LIFE event