Программист, не являющийся сотрудником «ВКонтакте», обнаружил, что в социальной сети есть баг, который позволяет постороннему человеку получить доступ к переписке пользователей с помощью анализа статистических данных.
Как стало известно СМИ, анонимный SEO-разработчик выявил в социальной сети «ВКонтакте» серьезную уязвимость, которая дает возможность посторонним людям получить доступ к частной переписке пользователей, даже не зная паролей от их учетных записей. Сообщается, что программист, фигурирующий под ником Yoga2016, пользовался сервисом для получения статистических данных сайтов и социальных сетей из поисковиков SimilarWeb. Ему удалось выяснить, что если запустить платную версию программы и проанализировать с ее помощью «ВКонтакте», то здесь, как и в случае с остальными сайтами, откроется возможность просмотреть 300 материалов данной соцсети, а именно, страницы пользователей. При этом, как отмечают СМИ, выявленный баг не позволяет попасть на страницу конкретного пользователя «ВКонтакте», так как SimilarWeb предлагает рандомную подборку популярных страниц, причем критерии не вполне понятны – у части пользователей, которых выбрала система, по 50 друзей и слабая активность.
Программист рассказал, что обратился в администрацию «ВКонтакте» сразу после того, как выявил неисправность, в рамках программы Bug Bounty, однако не получил вознаграждения за выявленную им ошибку. В пресс-службе «ВКонтакте» прокомментировали ситуацию, указав, что неполадки никак не связаны с проблемами социальной сети и были созданы разработчиками, у которых имеется доступ к API. К примеру, они имеют возможность использовать личную переписку в альтернативных клиентах для мессенджера «ВКонтакте», если получат разрешение пользователей.
