Найден способ читать чужую переписку в соцсети «ВКонтакте»

Анонимный разработчик Yoga2016 рассказал об уязвимости в социальной сети «ВКонтакте», которая позволяет читать личные сообщения через сервис статистики SimilarWeb, сообщает TJ.

В разговоре с TJ он сообщил, что обращался в поддержку соцсети, но не получил ответа.

SimilarWeb — сервис по получению статистики сайтов и соцсетей из поисковиков, который собирает данные о трафике, самых просматриваемых материалах, популярности в определённых странах.

Как отметил Yoga2016, платная версия SimilarWeb позволяет посмотреть 300 самых популярных материалов конкретного сайта для анализа посещаемости. Он использовал сервис в случае с соцсетью «ВКонтакте», но получил ссылки на личные сообщения 300 случайных пользователей.

Разработчику удалось выгрузить несколько историй переписок пользователей: чтобы посмотреть их, он добавил к адресу из SimilarWeb «.xml». Он прислал несколько ссылок на переписки пользователей, где в строке user указаны id-адреса некоторых из них. Там же можно найти фотографии, пароли и другие личные данные.

Неизвестно, для чего сервис сохраняет ссылки на личные сообщения и почему соцсеть выдает доступ к API приватных данных. Всего в Similarweb выводятся 300 случайных страниц пользователей соцсети, отобранных как «популярные». Неясно, как они отбираются, потому что у некоторых из них около 50 друзей и слабая активность на странице.

Редактор TJ обратился за комментарием к попавшим в SimilarWeb пользователям, после чего увидел свое же сообщение в ссылке из сервиса.

Позднее представители соцсети отметили, что в настоящий момент оперативно расследуют этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.

Фото Евгения Биятова (РИА Новости)