Программист из Казани получил от «ВКонтакте» $700 за предотвращение кражи личных фото

image

Теги: уязвимость, "ВКонтакте", кража, эксплуатация

Специалист обнаружил ошибку, позволяющую находить и скачивать все снимки пользователей.

Казанский программист Камиль Хисматулин обнаружил ошибку в социальной сети «ВКонтакте», позволяющую находить и скачивать все снимки пользователей, в том числе из скрытых альбомов и личных сообщений. 

Как  пояснил  Хисматулин в своем блоге, злоумышленники могли получать прямые ссылки на личные фотографии пользователей, в том числе и скрытые в частных сообщениях. Программист лично проверил схему кражи изображений, специально для этой цели написав эксплоит, благодаря которому смог получить доступ к идентификаторам снимков, загруженных на определенный промежуток времени. Дальнейшая эксплуатация уязвимости позволила ему получить прямые ссылки на фотографии.

По признанию Хисматулина, для того, чтобы получить снимки, загруженные в течение предыдущего дня, ему понадобилась всего одна минута. Загрузка недельного архива заняла семь минут, а за двадцать специалист смог собрать фотографии, загруженные в течение месяца.

Программист указал на проблему администрации «ВКонтакте», за что получил премию –10 тыс. голосов VK (внутренняя валюта соцсети) или примерно $700. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.