Анонимный разработчик сообщил изданию TJ о найденной уязвимости ВКонтакте, которая позволяет клиентам системы аналитики SimilarWeb читать личные сообщения некоторых пользователей соцсети
Разработчик сервиса утверждает, что в платной версии SimilarWeb можно просматривать 300 наиболее популярных материалов любого сайта. Однако при попытке получить данные ВКонтакте сервис выдал ссылки на личные сообщения случайных пользователей соцсети.
Представители службы безопасности ВКонтакте отказались платить вознаграждение в рамках программы Bug Bounty.
По словам разработчика просмотреть переписку можно добавив раз к адресам страниц «.xml». В полученных данных отобразятся текстовые сообщения, фото, эмодзи и id пользователей.
Часть сообщений дублируется в данных, полученных из разных ссылок. Соцсеть отказалась признать наличие уязвимости. Представители соцсети предположили, что в открытый доступ попали сообщения юзеров из неофициальных клиентов соцсети.
Ночью специалисты ВКонтакте сообщили, что провели более подробный анализ произошедшего и обнаружили, что речь идёт об использовании небезопасных VPN-сервисов, которые передают данные третьим лицам.
Клиенты SimilarWeb получили данные только 400 юзеров соцсети, которые могли передать ненадёжным VPN-сервисам доступ к своим личным данным.
Представители ВКонтакте отмечают, что не все сервисы аналитики фильтруют передаваемую им информацию. Таким образом персональные данные могут оказаться общедоступны.
