Переписку пользователей «ВКонтакте» можно прочитать с помощью SimilarWeb

Разработчик Yoga2016 обнаружил уязвимость в соцсети «ВКонтакте», позволяющую читать личные сообщения случайных пользователей с помощью сервиса статистики SimilarWeb.

SimilarWeb представляет собой сервис по получению статистики сайтов и соцсетей, собирающий данные о трафике, самых просматриваемых материалах и популярности в определенных географических регионах.

Как пояснил разработчик, в платной версии SimilarWeb есть функция просмотра 300 самых популярных материалов сайта для анализа посещаемости. Однако указав «ВКонтакте» в качестве сайта для анализа, Yoga2016 получил ссылки на личные сообщения 300 случайных пользователей.

Разработчик выгрузил несколько историй переписок пользователей, которые можно посмотреть, добавив к адресу из SimilarWeb расширение .xml. Помимо сообщений, там же можно найти фотографии, пароли и другие личные данные.

В настоящее время неясно, зачем сервис сохраняет ссылки на личные сообщения случайных людей. Несмотря на то, что страницы отобраны как «популярные», у некоторых пользователей слабая активность на странице.

По словам представителей «ВКонтакте», данная уязвимость не связана с проблемой в соцсети, а создана разработчиками, имевшими доступ к API. В качестве одной из возможных причин указано использование переписки в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.

«Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным», - отметили представители соцсети.