Анонимный CEO-разработчик Yoga2016 обнаружил, что чужую переписку «Вконтакте» можно прочитать через SimilarWeb. Это сервис, который позволяет узнать статистику сайтов и социальных сетей: данные о трафике, популярность, просматриваемые страницы и т.д.
По словам программиста, в платной версии SimilarWeb есть возможность просмотреть 300 самых популярных материалов сайта. В случае с «Вконтакте» ими оказались ссылка на личные сообщения 300 случайных пользователей.
Yoga2016 выгрузило несколько историй переписок, для этого он к адресу из SimilarWeb «.xml». В ссылках можно было обнаружить id-адреса, фото, пароли и другие данные.
Каким образом были отобраны «популярные» переписки — неизвестно. По мнению обнаружившего уязвимость разработчика, сервис анализирует не только поисковики, но и браузеры юзеров, чтобы учитывать, куда они чаще всего заходят.
«Вконтакте» отреагировала на сообщения об уязвимости сайта. В пресс-службе компании заявили, что проблема не в их разработчиках, а в злоупотреблениях со стороны программистов. «Вконтакте считает, что об уязвимости в данном случае речи не идет.
«Сторонние разработчики имеют доступ к открытому API нашей площадки. Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «Вконтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений», — отметили «Вконтакте».
В компании считают, что этими правами могли злоупотребить некоторые разработчики и «по какой-то причине передать данные в SimilarWeb».
«Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным. В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей», — заявили представители «Вконтакте».