Хакер получил скрытые номера Дурова и Медведева из-за нового дизайна <<ВКонтакте>>

30 августа 2016 12:07

Хакер под ником Алекс Ребл обнаружил, что закрытые номера пользователей <<ВКонтакте>> можно посмотреть из-за ошибки в новом дизайне. Он получил номера разработчиков и основателя соцсети Павла Дурова и даже премьера Дмитрия Медведева. Представители соцсети подтвердили, что такая ошибка на сайте есть, но компенсацию хакеру пока не выплатили.

8248103

Хакер из Челябинска под ником Алекс Ребл искал телефон своей бывшей девушки и добавлял в закладки её подруг. Когда молодой человек открывал страницу в html-коде, в нём отображались все данные пользователей, в том числе скрытые номера телефонов и электронные ящики, ошибку он обнаружил 27 августа. Об этом хакер рассказал паблику <<Код Дурова>>.

Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON-формате: {<>:>>имя>>,>>lastname>>:>>фамилия>>,>>reg_phone>>:>>номер в закрытом доступе>>,>>email>>:>>Эл.Адрес в закрытом доступе.>>} — по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп. Лично мне нужна была помощь команды <<ВКонтакте>>. Я стал привлекать внимание через сообщества.

Алекс Ребл

Парню удалось связаться с представителями <<ВКонтакте>>, и они посоветовали ему описать баг на платформе HackerOne, которую администрация соцсети создала, чтобы выплачивать пользователям сайта компенсации за обнаруженные ошибки. Ребл рассказывает, что и раньше находил баги и писал о них, но услышан не был, и в этот раз решил привлечь внимание администрации <<ВКонтакте>>, получив номера операционного директора «ВКонтакте» Андрея Рогозова и разработчика соцсети Олега Илларионова.

Может мне показалось, но они нервничали. Я написал Илларионову, через час мне написал Швец, я объяснил, что к чему. Баг подтвердился… Я пытался привлечь внимание Дурова через восстановление пароля (и нужно было убедиться самому, что это баг), надеюсь, он заметил. Прикрепил к сообщению о баге все номера, включая их номера, думаю, разработчиков это удивило.

Алекс Ребл

Операционный директор Андрей Рогозов подтвердил <<Коду Дурова>>, что такая ошибка в системе действительно была, но её устранили. Алекс Ребл тоже говорит, что баг убрали, и удивляется, почему о нём не сообщили широкому кругу пользователей.

Баг незаметный, думаю, не больше 1 тысячи знали. Больше всего удивило, что администрация не пишет о баге пользователям, чтобы они поменяли данные.

Алекс Ребл

Хакер написал на своей странице <<ВКонтакте>>, что за обнаруженную ошибку ему так и не заплатили, но он к этому и не стремился — главной целью было вернуть любимую девушку, чей номер он так и не смог найти.

А ведь это всё ради тебя, Кать. Я не жалуюсь, денег мне, конечно, не заплатили (перестарался), да и не надо мне, я тебя искал, получил номер твоей Танюхи, Настёны, Ксении… а вот твоего номера не нашёл. Спокойной ночи тебе!

Алекс Ребл

Новый дизайн <<ВКонтакте>> с 17 августа стал обязательным для всех пользователей соцсети и вызвал волну недовольства, в том числе и у основателя <<ВКонтакте>> Павла Дурова. TKSAG подробно рассказывал, как с помощью CSS-плагина можно вернуть старую версию дизайна.