Перейти к содержимому



Купить ссылку здесь
Фотография
- - - - -

Администраторов и авторов сообществ «ВКонтакте» деанонимизируют третий год подряд

Форум ZiSMO.biz
15
Сообщений в теме: 15

ONLINE Отправлено

NOVES
группа пользователя

    ¯\_(ツ)_/¯

  • Cообщений: 17 758
  • Поинты: 1 686
  • Предупреждений: 0
  • Онлайн:127д 11ч 23м
689

Миллионы пользователей «ВКонтакте» доверяют свои секреты сообществам вроде «Подслушано», публикуя анонимные истории, и администраторы многих страниц тоже предпочитают оставлять свои личности в тайне. Однако уже третий год подряд специалисты обнаруживают уязвимости, деанонимизирующие таких пользователей соцсети.

 

01ec08f56b037f.jpg

 

4 мая HTML-верстальщик из Смоленска Алексей Злодеев рассказал на «Хабрахабре» об очередном способе узнать, кто является автором предложенной в сообщество публикации, а кто — опубликовавшим её администратором. По его словам, он смог сделать это через официальный API соцсети, но для успешного разоблачения обязательно требовалось, чтобы в сообществе были разрешены комментарии.

 

 

Я смотрел метод newsfeed.getComments без каких-либо злых намерений. Этот метод возвращает посты в которых текущий пользователь оставил комментарий или иным образом подписался на уведомления (раздел «Мои новости → Комментарии»). Получив необходимые мне результаты, я обратил внимание на то, что в ответе сервера в злополучном массиве profiles лежит пять аккаунтов. Зачем они нужны и откуда они берутся, следовало немедленно выяснить. Для тестов я брал анонимную группу своего города, оставлял комментарий под последним постом и смотрел на ответ сервера по запросу к этому методу.

Оказалось, что каждый из этих пользователей имел непосредственное отношение к посту. Первым был тот, кто опубликовал новость, то есть человек с правами не ниже модератора, вторым был тот, кто «предложил новость», если он вообще был, и оставшиеся трое — последние прокомментировавшие запись. После проверки на тех группах, в которых все эти данные были «скрыты» настройками приватности, всё лишь подтвердилось. Всё именно так и было: всё, что скрывалось настройками приватности, было доступно в три клика.

Алексей Злодеев, верстальщик

 

 

По словам Злодеева, он собирался сообщить о найденной уязвимости во «ВКонтакте», однако по незнанию воспользовался неподходящими для этого средствами. Сначала он пытался отправить сообщение об уязвимости через баг-трекер «ВКонтакте», но не был в курсе, что он доступен только для зарегистрированных на платформе разработчиков.

 

Затем он отправил информацию о своей находке в vc.ru: там его попросили доказать работоспособность метода. Злодеев принялся экспериментировать с найденным багом и начал публиковать списки администраторов крупных новостных сообществ (РБК, Первого канала, «Известий») у себя в паблике.

 

627d4c51a43b05.jpg

Пример результата ответа, который возвращал API «ВКонтакте»

 

Ссылки на профили пользователей автоматически преобразовались в упоминания: администратор сообщества «Известий» заметил это и сообщил об ошибке во «ВКонтакте». Позднее аккаунт Злодеева в соцсети заблокировали.

 

В разговоре с TJ он признался, что до этого случая не знал о программе вознаграждения за найденные уязвимости Hacker One, в которой участвует«ВКонтакте» (соцсеть регулярно платит от 100 до 500 долларов, но иногда выплачивает более крупные награды — от 2 до 5 тысяч долларов). По его словам, он в итоге не смог подать туда заявку из-за слишком плохого знания английского языка: «Я застопорился на первом же пункте „Тип уязвимости“».

 

Сам верстальщик считал, что блокировка — результат жалоб упомянутых им пользователей на спам. Однако пресс-секретарь «ВКонтакте» Евгений Красников рассказал TJ, что Злодеева заблокировали за публичное эксплуатирование уязвимости, а баг устранили после обращения одного из «разоблачённых» администраторов сообществ.

 

 

Мы полностью устранили эту уязвимость. Пользователя, который воспроизводил её умышленно и публично, пришлось его заблокировать.

Евгений Красников, пресс-секретарь «ВКонтакте»

 

По словам Красникова, вознаграждение обнаружившему уязвимости выплачено не будет: «С террористами переговоров не ведём».

 

Аналогичный случай произошёл в апреле 2015 года: тогда Злодеев изучал тот же метод в API «ВКонтакте» и обнаружил схожую уязвимость. После обращения в поддержку «ВКонтакте» уязвимость закрыли, награды не выплатили, а через некоторое время аккаунт Злодеева был заморожен за якобы спамный пост на стене его собственной группы.

 

53baff2bfc6e3f.jpg

 

Первый широко известный случай такой деанонимизации произошёл в октябре 2014 года: студенты Киевского политехнического институтавыпустили утилиту на основе API «ВКонтакте», которая помогала вычислять администраторов сообществ через ID репостов записей. Если репостов в сообществе не было, вычислять не получалось.

 

Об этом же случае вспоминал Злодеев, по всей видимости считая, что нашёл уязвимость независимо от украинцев. В том случае пресс-секретарь «ВКонтакте» Георгий Лобушкин назвал этот способ разоблачения анонимов «недокументированной фичей». В разговоре с TJ Красников подтвердил, что исправленная в мае уязвимость — это «призрак той истории 2014 года» с «трудновоспроизводимой» уязвимостью.

 

Сам Злодеев писал, что он никакой не хакер и не разработчик, а все эти «уязвимости» (или «незадокументированные фичи») он обнаруживал почти случайно. «Я человек. Человек, которому интересно, как работает то, чем он пользуется чаще одного раза в день. И если в функциональности найден изъян, не поделиться с кем-то этим я не могу. Банально не хватает терпения сдерживать в себе информацию, которая может оказаться полезной некой категории людей, имеющих возможность извлечь из неё выгоду и поделиться со мной знанием, как такие знания использовать», — писал он в апреле 2015 года.

 

 

Источник.





14099701.gif957067afe3a7.gif Раскрученные аккаунты VK с друзьями - zismo.biz/topic/744195
785c74551bfc.gifimage.gif Раскрученные аккаунты VK с друзьями - zismo.biz/topic/744195
    • 1
  • Наверх
  • Ответить

OFFLINE Отправлено

EXPRESSMON
группа пользователя

    Раскручиваешь группу? Смотри мою подпись!

  • Cообщений: 5 312
  • Друзей:2566
  • Поинты: 10
  • Предупреждений: 10
  • Онлайн:54д 12ч 51м
155

Прочитал, но сложно было  ;)  история борьбы добра со злом :P


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

RockTheStreet
группа пользователя

    Накрутка инстаграм https://goo.gl/XjssuQ

  • Cообщений: 19 027
  • Поинты: 851
  • Предупреждений: 0
  • Онлайн:195д 21ч 5м
624

Нечестно конечно по отношение к типу, что вознаграждение не выплатили ему.


NwHrXPw.pngbC3HTAs.png

0AmIsng.pngmra7rX1.png

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

icq
группа пользователя

  • Cообщений: 1 409
  • Друзей:24
  • Поинты: 2
  • Предупреждений: 60
7

Нечестно конечно по отношение к типу, что вознаграждение не выплатили ему.

и еще забанили)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Mantificus
группа пользователя

    Зарегистрировался на ZISMO:11 Апр 2013

  • Cообщений: 1 467
  • Поинты: 1 025
  • Предупреждений: 0
  • Онлайн:101д 15ч 58м
18

так а щас узнать то можно?


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

BLACK_PRINCE
группа пользователя

    Статус на продаже

  • Cообщений: 3 134
  • Друзей:36
  • Поинты: 7
  • Предупреждений: 60
-398

Та в вк дол*аё*ы  рабоатют.Чувак награды не выплатили хотя бы копейку а ещё и бан дали...Ппц нищие


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

SpaceX
группа пользователя

    =VK.COM/ID77324=

  • Cообщений: 272
  • Поинты: 10
  • Предупреждений: 60
5

так а щас узнать то можно?

раньше было можно через апидог на изиче просто оставляя комент и смотреть кто автор поста, фичу прикрыли..


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

hacizade
группа пользователя

    Уровень 5

  • Cообщений: 10 697
  • Друзей:16
  • Поинты: 12 200
  • Предупреждений: 50
618

Спасибо! интересно..однако сложно было понять 


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

qwertyKEK
группа пользователя

    \ᅠ ᅠ lᅠ ᅠl ᅠ ᅠl ᅠ ᅠ/ Гуру ВК

  • Cообщений: 1 566
  • Друзей:63
  • Поинты: 249
  • Предупреждений: 0
  • Онлайн:27д 5ч 42м
28

так а щас узнать то можно?

в лс пиши, скажу всю инфу про любую группу с не более 50к подписчиков.


    • 1
  • Наверх
  • Ответить

OFFLINE Отправлено

SderA
группа пользователя

    продаю паблик вк жен. 47к чел - в лс

  • Cообщений: 26 848
  • Поинты: 48
  • Предупреждений: 0
  • Онлайн:143д 2ч 50м
335

Та в вк дол*аё*ы  рабоатют.Чувак награды не выплатили хотя бы копейку а ещё и бан дали...Ппц нищие

ага,обидно


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

AlexSeller
группа пользователя

    Уровень 1

  • Cообщений: 36
  • Поинты: 10
  • Предупреждений: 60
0

Ну скорее ему не дали зелени, т.к этот баг он выложил в общий доступ, и все что в " сети " уже публичные. И права на этот баг он потерял


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Saidkhan
группа пользователя

    Идентификация электронных кошельков

  • Cообщений: 10 767
  • Друзей:219
  • Поинты: 12
  • Предупреждений: 0
  • Онлайн:86д 9ч 7м
577
*Лоханулся* тип. И вместо благодарности , ему еще и страницу заблокировали.

1ICz0x0.gif 21.06.2017

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

SiniyS
группа пользователя

    Уровень 2

  • Cообщений: 1 038
  • Друзей:13
  • Поинты: 7
  • Предупреждений: 10
  • Онлайн:8д 21ч 6м
7

язык мой - враг мой (clap)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Стасшмель
группа пользователя

    Уровень 2

  • Cообщений: 1 067
  • Поинты: 14
  • Предупреждений: 0
  • Онлайн:8д 17ч 36м
8

:D  (n)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Mr_Sheff
группа пользователя

    Продвинутый юзер

  • Cообщений: 3 990
  • Друзей:146
  • Поинты: 5 326
  • Предупреждений: 0
  • Онлайн:113д 16ч 6м
137

И еще обозвали "террористом" (fail)  что за долбонавты там работают ?


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

KolbaserVIP
группа пользователя

    Подниму охват в вашей группе ВК!

  • Cообщений: 6 662
  • Друзей:46
  • Поинты: 14 197
  • Предупреждений: 120
-924

У меня у самого Подслушано есть моего города в поиске на первом месте, и что теперь нельзя такие посты что ли выкладывать бред))


    • 0
  • Наверх
  • Ответить



Напишите свое сообщение