Хакер под ником Алекс Ребл обнаружил, что через закладки ВКонтакте можно узнать привязанные к аккаунту в соцсети адрес почты и номер телефона. Об этом сообщило издание TJournal со ссылкой на сообщение сообщества «Код Дурова».
Фото: Reuters
Уязвимость проявилась после редизайна социальной сети. Чтобы получить закрытые данные аккаунта оказалось достаточно добавить профиль в закладки. По словам Ребла, ему таким образом удалось получить телефоны премьер-министра России Дмитрия Медведева, основателя социальной сети Павла Дурова и главного разработчика «ВКонтакте» Олега Илларионова.
«Сервер отдает больше данных, чем нужно, включая те, которые в закрытом доступе, — рассказал взломщик. — Примерно в таком JSON формате: {"name»:"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} — по сути нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп".
Полученные телефонные номера хакер не публиковал. Администрация «ВКонтакте» пока никак не отреагировала на утечку. Администратор сообщества «Код Дурова» Михаил Верник связывался с разработчиками соцсети, и, по его словам, получил подтверждение ошибки. По словам Верника, обнаруженные Реблом телефоны были реальными, проверять не стали только номер Медведева, однако его почта была привязана к адресу на домене .gov.
Сам Ребл рассказал, что обнаружил уязвимость случайно, когда пытался найти во «ВКонтакте» новый номер телефона девушки, чтобы помириться. Позже на своей станице он написал, что не получил вознаграждения за найденную уязвимость, так как «перестарался». Найти номер девушки у молодого человека также не получилось .