Найдена уязвимость, позволяющая читать переписку пользователей социальной сети «ВКонтакте» через SimilarWeb. Об этом сообщает журнал TJ со ссылкой на анонимного разработчика Yoga2016.

По словам Yoga2016, речь идет о платной версии SimilarWeb – сервиса, который дает SEO-разработчикам реальные данные о статистике сайтов и соцсетей. Любопытно, что используя этот сервис для анализа страниц сайта «ВКонтакте», разработчик получил ссылки на личные сообщения 300 случайных пользователей. При этом выгрузить всю историю переписок удалось, добавив к предоставленным адресам расширение xml.

Пока непонятно, почему сервис SimilarWeb сохраняет приватные данные вместо популярных публичных страниц, а «ВКонтакте» выдает доступ к API с перепиской своих пользователей. Кроме того, неясно как именно отбираются пользователи как «популярные»: ресурс отмечает, что у некоторых из них всего по 50 друзей и слабая активность на странице.

Представитель соцсети разъяснил журналу, что компания предоставляет API сторонним разработчикам для создания альтернативных клиентов-мессенджеров, но только с разрешения пользователей, установивших такие неофициальные приложения. Сейчас известно о 400 пользователях, которые сами передали стороннему приложению доступ к своим личным данным. На данный момент доступ к данным этих пользователей уже якобы заблокирован.