Уязвимость во «ВКонтакте» и ICQ принесла школьнику 3000 $ и приглашение в ИТМО
Брешь позволяла получить доступ к любому аккаунту без двухфакторной авторизации.
В конце мая 17-летний Илья Глебов из Мончегорска готовился к ЕГЭ по информатике. Чтобы отвлечься, он читал статью за 2016 год о взломах профилей в Facebook. Применив подход из статьи к «ВКонтакте», Илья обнаружил работающий способ взлома большинства аккаунтов соцсети.
Уязвимость позволяла получить доступ к странице пользователя, который не использует двухфакторную авторизацию. Код восстановления можно было получить на чужой номер телефона. Аналогичную брешь вскоре нашли и в ICQ.
Через сервис вознаграждений HackerOne Илья известил о находке представителей соцсети и мессенджера. Спустя 17 часов специалисты соцсети устранили ошибку. Команда «ВКонтакте» отметила, что уязвимость касалась приложения «ВКонтакте» для Android.
За свою находку школьник получил денежное вознаграждение и возможность бесплатно учиться в петербургском университете ИТМО. «ВКонтакте» заплатила Глебову 2000 $, ICQ — 1000 $. Декан факультета информационной безопасности и компьютерных технологий ИТМО Даниил Заколдаев встретился с Ильёй и после небольшого собеседования позвал учиться на факультет за счёт университета.
Напомним, позавчера «ВКонтакте» выпустила вторую стабильную версию своего десктопного мессенджера для macOS, Windows и Linux. А в начале года мы писали про рейтинг самых защищённых мобильных мессенджеров по версии американских аналитиков из Apptopia.
Хотите подсказать новость или поделиться экспертным мнением? Пишите: news@cossa.ru
Автор иконки на тизере: Eliricon, Noun Project
Успейте купить корпоративный пакет COSSA-2025 со скидкой!
Cossa анонсирует главный рекламный формат на весь 2025 год: сразу 8 различных опций.
Пакет идеально подходит для онлайн-сервисов, стартапов, интернет-компаний и digital-агентств.
Успейте приобрести пакет до повышения цены!