Разработчик получил доступ к переписке из ВКонтакте через SimilarWeb
По словам соцсети, проблема связана с сомнительными VPN-сервисами.
Пользователь под ником Yoga2016 рассказал на платформе Steemit об уязвимости во ВКонтакте, позволяющей читать переписку через аналитическую платформу SimilarWeb. По его словам, он обращался в поддержку соцсети, однако не получил ответа.
Сервис для сбора статистики SimilarWeb измеряет и предоставляет данные о поведенческих моделях и уровне вовлечённости пользователей сайтов и мобильных приложений. Yoga2016 считает, что платформа анализирует браузеры пользователей, чтобы собирать данные о посещении ими тех или иных сайтов.
Разработчик рассказал, что платная версия SimilarWeb разрешает смотреть 300 самых популярных материалов конкретного ресурса для анализа посещаемости. Он использовал эту услугу для ВКонтакте, но получил ссылки на личные сообщения 300 случайных пользователей. При этом Yoga2016 смог выгрузить несколько историй сообщений — для этого он добавил к адресам из SimilarWeb «.xml». В переписках пользователей были открыты фотографии, пароли и другая конфиденциальная информация.
Ссылки на переписки пользователей ВКонтакте, предоставленные SimilarWeb
Непонятно, зачем Similarweb сохраняет ссылки на личные сообщения и как отбирает 300 «популярных» страниц пользователей соцсети. В TJ отметили, что у некоторых профилей около 50 друзей и слабая активность на странице. Редактор издания написал попавшим в список пользователям, после чего сообщение также появилось в ссылке из сервиса.
Yoga2016 подавал заявку на участие в программе вознаграждений для нашедших уязвимости во ВКонтакте. Однако его проигнорировали, а тред с обсуждением проблемы удалили.
ВКонтакте заявила, что проблема связана с работой «ненадёжных VPN-сервисов» — они передают данные пользователей третьим лицам, в том числе аналитическим платформам. В соцсети утверждают, что в открытом доступе оказались сообщения лишь 400 пользователей, которые пользовались сомнительными VPN.
Кроме того, разработчики ВКонтакте обнаружили в SimilarWeb данные о запросах ключей доступа к API ботов Telegram (с помощью такого ключа можно отправить любое сообщение от имени чужого бота), плюс информации с сайтов ФБР и российского правительства.
Соцсеть порекомендовала пользователям не устанавливать VPN от неизвестных авторов. Если открыть сервису доступ к трафику на устройстве, он сможет выгружать и передавать персональные данные третьим лицам.
Ранее мы рассказывали о российском студенте, который нашёл уязвимость в портале Росообрнадзора и смог скачать реквизиты 14 миллионов выпускников.
Хотите подсказать новость или поделиться экспертным мнением? Пишите: news@cossa.ru
Иллюстрация на тизере: Marketing Envy
IT-конференция МТС True Tech Day 17 мая
Что будет:
- 5 тематических треков: Main, Development, AI/ML, Cloud, Science;
- 50 спикеров с докладами про архитектуру, облачные платформы, NLP4Code, вероятностное программирование, безопасность контейнеров и другое;
- 10 часов нетворкинга;
- Цифровые зоны и digital-интеграции;
- А ещё вечеринка со звездой.
Реклама. ПАО «МТС». ИНН 7740000076. ОГРН 1027700149124
