Parasite
07 марта, 10:39

Разработчик получил доступ к переписке из ВКонтакте через SimilarWeb

По словам соцсети, проблема связана с сомнительными VPN-сервисами.

Пользователь под ником Yoga2016 рассказал на платформе Steemit об уязвимости во ВКонтакте, позволяющей читать переписку через аналитическую платформу SimilarWeb. По его словам, он обращался в поддержку соцсети, однако не получил ответа.

Сервис для сбора статистики SimilarWeb измеряет и предоставляет данные о поведенческих моделях и уровне вовлечённости пользователей сайтов и мобильных приложений. Yoga2016 считает, что платформа анализирует браузеры пользователей, чтобы собирать данные о посещении ими тех или иных сайтов.

Разработчик рассказал, что платная версия SimilarWeb разрешает смотреть 300 самых популярных материалов конкретного ресурса для анализа посещаемости. Он использовал эту услугу для ВКонтакте, но получил ссылки на личные сообщения 300 случайных пользователей. При этом Yoga2016 смог выгрузить несколько историй сообщений — для этого он добавил к адресам из SimilarWeb «.xml». В переписках пользователей были открыты фотографии, пароли и другая конфиденциальная информация.

Ссылки на переписки пользователей ВКонтакте

Ссылки на переписки пользователей ВКонтакте, предоставленные SimilarWeb

Непонятно, зачем Similarweb сохраняет ссылки на личные сообщения и как отбирает 300 «популярных» страниц пользователей соцсети. В TJ отметили, что у некоторых профилей около 50 друзей и слабая активность на странице. Редактор издания написал попавшим в список пользователям, после чего сообщение также появилось в ссылке из сервиса.

Yoga2016 подавал заявку на участие в программе вознаграждений для нашедших уязвимости во ВКонтакте. Однако его проигнорировали, а тред с обсуждением проблемы удалили.

ВКонтакте заявила, что проблема связана с работой «ненадёжных VPN-сервисов» — они передают данные пользователей третьим лицам, в том числе аналитическим платформам. В соцсети утверждают, что в открытом доступе оказались сообщения лишь 400 пользователей, которые пользовались сомнительными VPN.

Кроме того, разработчики ВКонтакте обнаружили в SimilarWeb данные о запросах ключей доступа к API ботов Telegram (с помощью такого ключа можно отправить любое сообщение от имени чужого бота), плюс информации с сайтов ФБР и российского правительства.

Соцсеть порекомендовала пользователям не устанавливать VPN от неизвестных авторов. Если открыть сервису доступ к трафику на устройстве, он сможет выгружать и передавать персональные данные третьим лицам.

Ранее мы рассказывали о российском студенте, который нашёл уязвимость в портале Росообрнадзора и смог скачать реквизиты 14 миллионов выпускников.

Хотите подсказать новость или поделиться экспертным мнением? Пишите: news@cossa.ru

Иллюстрация на тизере: Marketing Envy

Получи сертификат Digital Project Manager!

25 октября в Москве пройдет первая очная сертификация RDC по позиции Digital Project Manager.

Если вы управляете цифровыми проектами на стороне агентства или на стороне клиента — получите одним из первых на рынке сертификат, подтверждающий высокий уровень вашей компетенции! А чтобы проверить свои силы, можно и нужно пройти полноценный витринный онлайн-тест.

Запись на очную сертификацию Digital Project Manager 25 октября — на этой странице. Cossa рекомендует!

Реклама

Комментарии:

Реклама


📰 Чем живёт digital.
Главное — в рассылке:




Вход на cossa.ru

Уже есть аккаунт?
Выбирай любой вариант входа:
Facebook Vkontakte

Используйте свой аккаунт в социальной сети Facebook или Вконтакте, чтобы пользоваться сайтом

Не забудьте написать email на странице своего профиля для управления рассылкой