Воронежский студент за неделю нашел уязвимость аккаунтов трех популярных блогеров

Сергей Вакулин пошагово рассказал о том, как используя уязвимость «В контакте», он получил доступ к личным данным пользователей.

В Воронеже 18-летний программист 10 мая опубликовал пост о том, насколько оказались на защищены люди, сидящие в социальной сети «В контакте». Сергей Вакулин заявил о том, что всего за неделю смог выявить уязвимость аккаунтов трех популярных блогеров. Социальная сеть ввела новшество в виде импорта пользователей по их номерам телефонов. Пресс-служба «В контакте» заявляла, что все это не несет угрозы. Дескать, всегда есть ограничения по получению ссылки. Тем не менее, Сергей Вакулин рассказал, как он смог, используя это нововведение, заполучить личные данные популярных блогеров. В частности, номера телефонов. 

Во-первых, сначала он с помощью перебора номеров составил базу. После этого Вакулин начал действовать по заданному алгоритму. Установив определенный цикл с поворотом в 10 секунд, он смог обойти капчу, «ограничение от «В контакте» бессмысленное и бесполезное».

- Существует ещё методы для определения идентифицированной страницы: сравнивать URL профиля и предлагаемый в импорте, отправлять заявку в друзья, дописав строчку с методом (не рекомендуется, так как есть вероятность наткнутся на злостную систему, которая заблокирует Вас), - написал на своей странице Сергей Вакулин.

Таким образом, воронежец смог показать уязвимость аккаунтов трех популярных блогеров. Их страницы были идентифицированными с галочками.

- Способы, которые упомянул Сергей, не являются рабочими - перебором нельзя идентифицировать профиль пользователя. Наши специалисты проводят дополнительную проверку, но никакой угрозы данным пользователей нет, - в свою очеред прокомментировали в пресс-службе «В контакте».

Илья Ершов