ReportKey
07 марта, 10:39
2024
0

Разработчик получил доступ к переписке из ВКонтакте через SimilarWeb

По словам соцсети, проблема связана с сомнительными VPN-сервисами.

Эльвира Хамитова, новостной редактор в Cossa

Пользователь под ником Yoga2016 рассказал на платформе Steemit об уязвимости во ВКонтакте, позволяющей читать переписку через аналитическую платформу SimilarWeb. По его словам, он обращался в поддержку соцсети, однако не получил ответа.

Сервис для сбора статистики SimilarWeb измеряет и предоставляет данные о поведенческих моделях и уровне вовлечённости пользователей сайтов и мобильных приложений. Yoga2016 считает, что платформа анализирует браузеры пользователей, чтобы собирать данные о посещении ими тех или иных сайтов.

Разработчик рассказал, что платная версия SimilarWeb разрешает смотреть 300 самых популярных материалов конкретного ресурса для анализа посещаемости. Он использовал эту услугу для ВКонтакте, но получил ссылки на личные сообщения 300 случайных пользователей. При этом Yoga2016 смог выгрузить несколько историй сообщений — для этого он добавил к адресам из SimilarWeb «.xml». В переписках пользователей были открыты фотографии, пароли и другая конфиденциальная информация.

Ссылки на переписки пользователей ВКонтакте

Ссылки на переписки пользователей ВКонтакте, предоставленные SimilarWeb

Непонятно, зачем Similarweb сохраняет ссылки на личные сообщения и как отбирает 300 «популярных» страниц пользователей соцсети. В TJ отметили, что у некоторых профилей около 50 друзей и слабая активность на странице. Редактор издания написал попавшим в список пользователям, после чего сообщение также появилось в ссылке из сервиса.

Yoga2016 подавал заявку на участие в программе вознаграждений для нашедших уязвимости во ВКонтакте. Однако его проигнорировали, а тред с обсуждением проблемы удалили.

ВКонтакте заявила, что проблема связана с работой «ненадёжных VPN-сервисов» — они передают данные пользователей третьим лицам, в том числе аналитическим платформам. В соцсети утверждают, что в открытом доступе оказались сообщения лишь 400 пользователей, которые пользовались сомнительными VPN.

Кроме того, разработчики ВКонтакте обнаружили в SimilarWeb данные о запросах ключей доступа к API ботов Telegram (с помощью такого ключа можно отправить любое сообщение от имени чужого бота), плюс информации с сайтов ФБР и российского правительства.

Соцсеть порекомендовала пользователям не устанавливать VPN от неизвестных авторов. Если открыть сервису доступ к трафику на устройстве, он сможет выгружать и передавать персональные данные третьим лицам.

Ранее мы рассказывали о российском студенте, который нашёл уязвимость в портале Росообрнадзора и смог скачать реквизиты 14 миллионов выпускников.

Хотите подсказать новость или поделиться экспертным мнением? Пишите: news@cossa.ru

Иллюстрация на тизере: Marketing Envy

cossa-icons-6.png

Весь интернет-маркетинг за 19 недель!

Cossa рекомендует: онлайн-курс по интернет-маркетингу от Ingate — digital-агентства с 17-летним опытом.

  • 17 учебных блоков по ключевым вопросам интернет-маркетинга
  • Поддержка менторов
  • Диплом
  • Cтажировка в топовых агентствах России
  • Помощь в трудоустройстве
Узнать больше >>

Реклама

Комментарии:

Ответить?
Реклама



Вход на cossa.ru

Уже есть аккаунт?
Выбирай любой вариант входа:
Facebook Twitter Vkontakte

Используйте свой аккаунт в социальной сети Facebook или Twitter, чтобы пользоваться сайтом

Не забудьте написать email на странице своего профиля для управления рассылкой