Анонимный разработчик Yoga2016 рассказал об уязвимости «ВКонтакте», которая позволяет читать переписку пользователей с помощью сервиса аналитики сайтов SimilarWeb. Программист сообщил TJ, что он подавал заявку в Bounty-программу от соцсети, где можно рассказывать об уязвимости ВК и получать за это вознаграждение. Однако на его сообщение не отреагировали, а тред с обсуждением инцидента удалили, добавил разработчик.
По словам Yoga2016, платная версия сервиса позволяет посмотреть 300 самых популярных материалов конкретного сайта для анализа посещаемости. Однако вместо 300 страниц он получил ссылки на переписки 300 случайных пользователей. Он также отметил, что получал на них ссылки каждые 5 дней в течение нескольких недель. Вместе с личными сообщениями были указаны пароли и другие личные данные.
Пресс-служба «ВКонтакте» ответила порталу, что уязвимость не связана с проблемой соцсети, а создана разработчиками, у которых есть доступ к API. Например, они могут использовать личную переписку в альтернативных клиентах для мессенджера ВК с разрешения пользователей. «В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей», — добавили представители «ВКонтакте».
