Хакер нашел телефоны Медведева и Дурова через уязвимость в новом дизайне «ВКонтакте» Соцсеть отказалась платить вознаграждение за найденный недостаток
Хакер под ником Алекс Ребл нашел уязвимость в новом дизайне «ВКонтакте», благодаря которой он нашел номера телефонов премьер-министра Дмитрия Медведева, Павла Дурова, операционного директора «ВКонтакте» Андрея Рогозова, разработчика соцсети Олега Илларионова. Администрация соцсети решила публично не объявлять о найденной уязвимости и не предупреждать пользователей. И не заплатила хакеру за найденную уязвимость.
Пользователь «ВКонтакте» под ником Алекс Ребл несколько дней назад объявил через сообщество «Код Дурова» о найденной дыре в программном коде редизайна «ВК». В интервью сообществу хакер рассказал, что уязвимость нашел случайно, когда пытался найти новый телефона девушки, чтобы помириться.
«Решил добавить её подругу в закладки, чтобы, если что – ей написать. Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе «закладки» я и обнаружил странность... Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова – я не поверил. Затем получил номер Дмитрия Медведева – тут я понял, что это конкретный ляп. Лично мне нужна была помощь команды ВКонтакте. Я стал привлекать внимание через сообщества» – рассказал Алекс Ребл.
По словам хакера, баг малозаметный, его могли обнаружить не больше тысячи человек. Ранее он находил похожие недоработки с доступом и скрытыми данными. С их помощью пользователю удавалось получить картинки и записи со стен людей, которые внесли его в «черный список», а также из профайлов удаленных пользователей.
Администратор сообщества «Код Дурова» Михаил Верник рассказал, что после общения с Алексом Реблом связывался с операционным директором «ВКонтакте» Андреем Рогозовым и тот подтвердил ему наличие уязвимости, но заявил, что администрация соцсети не будет предупреждать пользователей о ней.
Пресс-секретарь соцсети Евгений Красников рассказал изданию Tjournal.ru, что его коллеги сочли баг неопасным: «Баг, который позволял узнать номер телефона, привязанный к странице, был также исправлен сразу после того, как мы о нём узнали, хотя и не представлял опасности для безопасности аккаунтов пользователей. Доступа к аккаунту пользователя с помощью тех данных, которые можно было узнать из-за этого бага, получить невозможно».
Хакер, который нашел уязвимость, заявил, что изначально не рассчитывал на вознаграждение, а решил сразу привлечь внимание администрации «ВКонтакте», чтобы ошибка была исправлена. Однако представители администрации попросили его написать отчет об ошибке на HackerOne – платформе, через которую соцсеть выплачивает вознаграждения за найденные уязвимости. Накануне Ребл заявил, что администрация соцсети отказала ему в выплате вознаграждения. Также его удивило то, что администрация соцсети не предупредила пользователей об уязвимости и не попросила поменять личные данные.
В пресс-службе правительства РФ объяснили журналистам, что номер телефона, привязанный к аккаунту Дмитрия Медведева во «ВКонтакте», является техническим и принадлежит сотрудникам пресс-службы, а не самому премьеру. Дмитрий Медведев завел страницу «Вконтакте» в 2011 году, когда занимал пост президента России. На его страницу подписаны больше двух миллионов человек. В 2013 году хакеры обнаружили уязвимость «ВКонтакте», с помощью которой разместили в статусе Медведева фиктивные уведомления о том, что премьер якобы в данный момент слушает матерные песни и dubstep-обработку выступления Алексея Навального на митинге оппозиции.
Москва, Алексей Усов
© 2016, РИА «Новый День»