Адрес документа: http://lib.itsec.ru/newstext.php?news_id=121830
Разработчик Yoga2016 обнаружил уязвимость в соцсети "ВКонтакте", позволяющую читать личные сообщения случайных пользователей с помощью сервиса статистики SimilarWeb.
SimilarWeb представляет собой сервис по получению статистики сайтов и соцсетей, собирающий данные о трафике, самых просматриваемых материалах и популярности в определенных географических регионах.
Как пояснил разработчик, в платной версии SimilarWeb есть функция просмотра 300 самых популярных материалов сайта для анализа посещаемости. Однако указав "ВКонтакте" в качестве сайта для анализа, Yoga2016 получил ссылки на личные сообщения 300 случайных пользователей.
Разработчик выгрузил несколько историй переписок пользователей, которые можно посмотреть, добавив к адресу из SimilarWeb расширение .xml. Помимо сообщений, там же можно найти фотографии, пароли и другие личные данные.
В настоящее время неясно, зачем сервис сохраняет ссылки на личные сообщения случайных людей. Несмотря на то, что страницы отобраны как "популярные", у некоторых пользователей слабая активность на странице.
По словам представителей "ВКонтакте", данная уязвимость не связана с проблемой в соцсети, а создана разработчиками, имевшими доступ к API. В качестве одной из возможных причин указано использование переписки в альтернативных клиентах для мессенджера "ВКонтакте" с разрешения пользователей.
"Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным", - отметили представители соцсети.
Copyright © 2004-2019, ООО "ГРОТЕК"
