Разработчик получил доступ к переписке из ВКонтакте через SimilarWeb
По словам соцсети, проблема связана с сомнительными VPN-сервисами.
Пользователь под ником Yoga2016 рассказал на платформе Steemit об уязвимости во ВКонтакте, позволяющей читать переписку через аналитическую платформу SimilarWeb. По его словам, он обращался в поддержку соцсети, однако не получил ответа.
Сервис для сбора статистики SimilarWeb измеряет и предоставляет данные о поведенческих моделях и уровне вовлечённости пользователей сайтов и мобильных приложений. Yoga2016 считает, что платформа анализирует браузеры пользователей, чтобы собирать данные о посещении ими тех или иных сайтов.
Разработчик рассказал, что платная версия SimilarWeb разрешает смотреть 300 самых популярных материалов конкретного ресурса для анализа посещаемости. Он использовал эту услугу для ВКонтакте, но получил ссылки на личные сообщения 300 случайных пользователей. При этом Yoga2016 смог выгрузить несколько историй сообщений — для этого он добавил к адресам из SimilarWeb «.xml». В переписках пользователей были открыты фотографии, пароли и другая конфиденциальная информация.
Непонятно, зачем Similarweb сохраняет ссылки на личные сообщения и как отбирает 300 «популярных» страниц пользователей соцсети. В TJ отметили, что у некоторых профилей около 50 друзей и слабая активность на странице. Редактор издания написал попавшим в список пользователям, после чего сообщение также появилось в ссылке из сервиса.
Yoga2016 подавал заявку на участие в программе вознаграждений для нашедших уязвимости во ВКонтакте. Однако его проигнорировали, а тред с обсуждением проблемы удалили.
ВКонтакте заявила, что проблема связана с работой «ненадёжных VPN-сервисов» — они передают данные пользователей третьим лицам, в том числе аналитическим платформам. В соцсети утверждают, что в открытом доступе оказались сообщения лишь 400 пользователей, которые пользовались сомнительными VPN.
Кроме того, разработчики ВКонтакте обнаружили в SimilarWeb данные о запросах ключей доступа к API ботов Telegram (с помощью такого ключа можно отправить любое сообщение от имени чужого бота), плюс информации с сайтов ФБР и российского правительства.
Соцсеть порекомендовала пользователям не устанавливать VPN от неизвестных авторов. Если открыть сервису доступ к трафику на устройстве, он сможет выгружать и передавать персональные данные третьим лицам.
Ранее мы рассказывали о российском студенте, который нашёл уязвимость в портале Росообрнадзора и смог скачать реквизиты 14 миллионов выпускников.
Хотите подсказать новость или поделиться экспертным мнением? Пишите: news@cossa.ru
Иллюстрация на тизере: Marketing Envy
Успейте купить корпоративный пакет COSSA-2025 со скидкой!
Cossa анонсирует главный рекламный формат на весь 2025 год: сразу 8 различных опций.
Пакет идеально подходит для онлайн-сервисов, стартапов, интернет-компаний и digital-агентств.
Успейте приобрести пакет до повышения цены!