Анонимный разработчик, скрывающийся за ником Yoga2016, обнаружил возможность прочитать личные сообщения пользователей "ВКонтакте" через сторонний сервис онлайн-статистики SimilarWeb. В пресс-службе соцсети объяснили, что уязвимостью это не является.
О находке Yoga2016 рассказал изданию TJ. Платная версия SimilarWeb позволяет просмотреть 300 самых популярных материалов любого сайта. Сделав такой запрос по vk.com, разработчик неожиданно получил ссылки, по которым через API "ВКонтакте" с помощью присутствующих в ссылке специальных токенов — своего рода кодов доступа — открывались личные сообщения 300 случайных пользователей социальной сети.
Некоторые полученные ссылки содержали идентификатор пользователя, что позволяет сопоставить переписку с конкретным человеком, если он зарегистрирован во "ВКонтакте" под реальным именем. В переписках, доступных через SimilarWeb, обнаруживались личные фотографии, документы, и даже пароли к сторонним сервисам.
Yoga2016 сообщил, что подавал заявку в программу "ВКонтакте" по вознаграждению за найденные уязвимости, однако его сообщение проигнорировали, а тред с обсуждением через небольшое время удалили. Разработчик предполагает, что обнаружил "лазейку", которую социальная сеть использует, чтобы открывать доступ к переписке пользователей правоохранительным органам и спецслужбам. Кстати, недавно блокировку с "ВКонтакте" сняли китайские интернет-цензоры. Как правило, это означает, что администрация ранее блокировавшегося сервиса предоставила спецслужбам страны инструменты для контроля переписки пользователей и/или блокировки "нежелательной" информации.
В пресс-службе "ВКонтакте" в ответ на запрос TJ объяснили произошедшее иначе. В соцсети считают, что виноват разработчик какого-либо из сторонних сервисов, имеющих доступ к данным пользователей. Например, разрешение "читать" переписку может быть у альтернативных мобильных приложений-клиентов соцсети — в этом случае пользователи сами дают согласие на доступ программы к своей переписке. Возможно, создатель одного из подобных сервисов не позаботился о том, чтобы защитить получаемые данные от сканирующих сеть программ-роботов, в частности, используемых SimilarWeb, или намеренно передал сведения сервису статистики.
Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей.
Пресс-служба "ВКонтакте"
Дополнение: В поступившем в Вести.Hi-tech уже после исходной публикации этой статьи сообщении пресс-службы "ВКонтакте" приводятся результаты проведенного специалистами соцсети расследования. Ночью специалисты "ВКонтакте" провели более подробный анализ произошедшего и обнаружили, что речь идёт об использовании небезопасных VPN-сервисов, которые передают данные третьим лицам — например, сторонним сервисам аналитики. Представители "ВКонтакте" подчеркнули, что клиенты сервиса веб-аналитики SimilarWeb получили данные лишь 400 пользователей социальной сети, которые могли передать ненадёжным VPN-сервисам доступ к своим личным данным. В свою очередь, не все сервисы аналитики фильтруют передаваемую им информацию, таким образом, в том числе персональные данные, могут оказаться общедоступны.
В процессе проверки сотрудники "ВКонтакте" изучили данные о сетевых запросах пользователей, доступные на SimilarWeb. Среди них обнаружились, например, ключи доступа к API ботов в Telegram (используя такой ключ, можно отправить любое сообщение от имени чужого бота), история поисковых запросов с сайтов американского ФБР и российского правительства, а также названия не анонсированных проектов с закрытого корпоративного ресурса крупной игровой компании, которую представители социальной сети предпочли не называть.
