Разработчик получил доступ к переписке из ВКонтакте через SimilarWeb. Читайте на Cossa.ru

07 марта 2018, 10:39

Разработчик получил доступ к переписке из ВКонтакте через SimilarWeb

По словам соцсети, проблема связана с сомнительными VPN-сервисами.

Пользователь под ником Yoga2016 рассказал на платформе Steemit об уязвимости во ВКонтакте, позволяющей читать переписку через аналитическую платформу SimilarWeb. По его словам, он обращался в поддержку соцсети, однако не получил ответа.

Сервис для сбора статистики SimilarWeb измеряет и предоставляет данные о поведенческих моделях и уровне вовлечённости пользователей сайтов и мобильных приложений. Yoga2016 считает, что платформа анализирует браузеры пользователей, чтобы собирать данные о посещении ими тех или иных сайтов.

Разработчик рассказал, что платная версия SimilarWeb разрешает смотреть 300 самых популярных материалов конкретного ресурса для анализа посещаемости. Он использовал эту услугу для ВКонтакте, но получил ссылки на личные сообщения 300 случайных пользователей. При этом Yoga2016 смог выгрузить несколько историй сообщений — для этого он добавил к адресам из SimilarWeb «.xml». В переписках пользователей были открыты фотографии, пароли и другая конфиденциальная информация.

Ссылки на переписки пользователей ВКонтакте

Ссылки на переписки пользователей ВКонтакте, предоставленные SimilarWeb

Непонятно, зачем Similarweb сохраняет ссылки на личные сообщения и как отбирает 300 «популярных» страниц пользователей соцсети. В TJ отметили, что у некоторых профилей около 50 друзей и слабая активность на странице. Редактор издания написал попавшим в список пользователям, после чего сообщение также появилось в ссылке из сервиса.

Yoga2016 подавал заявку на участие в программе вознаграждений для нашедших уязвимости во ВКонтакте. Однако его проигнорировали, а тред с обсуждением проблемы удалили.

ВКонтакте заявила, что проблема связана с работой «ненадёжных VPN-сервисов» — они передают данные пользователей третьим лицам, в том числе аналитическим платформам. В соцсети утверждают, что в открытом доступе оказались сообщения лишь 400 пользователей, которые пользовались сомнительными VPN.

Кроме того, разработчики ВКонтакте обнаружили в SimilarWeb данные о запросах ключей доступа к API ботов Telegram (с помощью такого ключа можно отправить любое сообщение от имени чужого бота), плюс информации с сайтов ФБР и российского правительства.

Соцсеть порекомендовала пользователям не устанавливать VPN от неизвестных авторов. Если открыть сервису доступ к трафику на устройстве, он сможет выгружать и передавать персональные данные третьим лицам.

Ранее мы рассказывали о российском студенте, который нашёл уязвимость в портале Росообрнадзора и смог скачать реквизиты 14 миллионов выпускников.

Хотите подсказать новость или поделиться экспертным мнением? Пишите: news@cossa.ru

Иллюстрация на тизере: Marketing Envy

МегаФон ПроБизнес

Получите Кешбэк 100% за запуск рекламы с МегаФон Таргетом!

Узнать больше >>

Реклама. ПАО «МегаФон». ИНН 7812014560. ОГРН 1027809169585

Телеграм Коссы — здесь самый быстрый диджитал и самые честные обсуждения: @cossaru

📬 Письма Коссы — рассылка о маркетинге и бизнесе в интернете. Раз в неделю, без инфошума: cossa.pulse.is

✉️✨
Письма Коссы — лаконичная рассылка для тех, кто ценит своё время: cossa.pulse.is

Вход на cossa.ru

Уже есть аккаунт?
Авторизуйся через VK:
Vkontakte
Не забудьте написать email на странице своего профиля для управления рассылкой