Анонимный разработчик и пользователь случайно обнаружил в социальной сети «ВКонтакте» возможность читать переписку с помощью сервиса веб-аналитики SimilarWeb.

Как это произошло

Как сообщает TJ, пользователь yoga2016 использовал для этого инструменты платной версии SimilarWeb. По умолчанию они показывают 300 самых популярных материалов любого сайта. Однако если «натравить» их на ВК, то выдаются ссылки на сообщения случайных пользователей.

Чтобы просмотреть переписки, разработчик добавил к адресам страниц расширение «.xml», после чего смог просмотреть текстовые сообщения, смайлики, фото, а также id страниц пользователей. Некоторые данные дублируются по разным ссылкам, потому сложно сказать, какой алгоритм используется для этого.

Что было сделано

В ВК отказались выплатить вознаграждение в рамках программы Bug Bounty. По их словам, в общем доступе, скорее всего, оказались сообщения пользователей неофициальных клиентов соцсети. Проще говоря, факт уязвимости он не признали.

Речь не идёт об уязвимости «ВКонтакте». Сторонние разработчики имеют доступ к открытому API нашей площадки.

Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений.

Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.

В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.

Мы настоятельно рекомендуем устанавливать официальные приложения «ВКонтакте» и не пользоваться непроверенными клиентами

Представители соцсети «ВКонтакте»

Если пользователь разрешает ненадежным VPN-приложениям или прокси-сервисам доступ к трафику на своем устройстве, то создавшие такой сервис разработчики могут получить и передать третьим лицам персональные данные — включая историю посещений, личные сообщения, информацию об аккаунтах в разных сервисах, данные банковских карт. Это похоже на ситуацию, когда мошенник стоит за спиной и видит все, что вы делаете, своими глазами

Директор по технологиям «ВКонтакте» Сергей Кубасов