Найдена уязвимость, позволяющая читать переписку пользователей «ВКонтакте»
Найдена уязвимость, позволяющая читать переписку пользователей социальной сети «ВКонтакте» через SimilarWeb. Об этом сообщает журнал TJ со ссылкой на анонимного разработчика Yoga2016.
По словам Yoga2016, речь идет о платной версии SimilarWeb – сервиса, который дает SEO-разработчикам реальные данные о статистике сайтов и соцсетей. Любопытно, что используя этот сервис для анализа страниц сайта «ВКонтакте», разработчик получил ссылки на личные сообщения 300 случайных пользователей. При этом выгрузить всю историю переписок удалось, добавив к предоставленным адресам расширение xml.
Пока непонятно, почему сервис SimilarWeb сохраняет приватные данные вместо популярных публичных страниц, а «ВКонтакте» выдает доступ к API с перепиской своих пользователей. Кроме того, неясно как именно отбираются пользователи как «популярные»: ресурс отмечает, что у некоторых из них всего по 50 друзей и слабая активность на странице.
Представитель соцсети разъяснил журналу, что компания предоставляет API сторонним разработчикам для создания альтернативных клиентов-мессенджеров, но только с разрешения пользователей, установивших такие неофициальные приложения. Сейчас известно о 400 пользователях, которые сами передали стороннему приложению доступ к своим личным данным. На данный момент доступ к данным этих пользователей уже якобы заблокирован.