Перейти к содержимому



Купить ссылку здесь
Фотография
- - - - -

Администраторов и авторов сообществ «ВКонтакте» деанонимизируют третий год подряд

Форум ZiSMO.biz
15
Сообщений в теме: 15

ONLINE Отправлено

NOVES
группа пользователя

    Помощник TiR ツ

  • Cообщений: 14 287
  • Поинты: 12 546
  • Предупреждений: 0
  • Онлайн:86д 11м
525

Миллионы пользователей «ВКонтакте» доверяют свои секреты сообществам вроде «Подслушано», публикуя анонимные истории, и администраторы многих страниц тоже предпочитают оставлять свои личности в тайне. Однако уже третий год подряд специалисты обнаруживают уязвимости, деанонимизирующие таких пользователей соцсети.

 

01ec08f56b037f.jpg

 

4 мая HTML-верстальщик из Смоленска Алексей Злодеев рассказал на «Хабрахабре» об очередном способе узнать, кто является автором предложенной в сообщество публикации, а кто — опубликовавшим её администратором. По его словам, он смог сделать это через официальный API соцсети, но для успешного разоблачения обязательно требовалось, чтобы в сообществе были разрешены комментарии.

 

 

Я смотрел метод newsfeed.getComments без каких-либо злых намерений. Этот метод возвращает посты в которых текущий пользователь оставил комментарий или иным образом подписался на уведомления (раздел «Мои новости → Комментарии»). Получив необходимые мне результаты, я обратил внимание на то, что в ответе сервера в злополучном массиве profiles лежит пять аккаунтов. Зачем они нужны и откуда они берутся, следовало немедленно выяснить. Для тестов я брал анонимную группу своего города, оставлял комментарий под последним постом и смотрел на ответ сервера по запросу к этому методу.

Оказалось, что каждый из этих пользователей имел непосредственное отношение к посту. Первым был тот, кто опубликовал новость, то есть человек с правами не ниже модератора, вторым был тот, кто «предложил новость», если он вообще был, и оставшиеся трое — последние прокомментировавшие запись. После проверки на тех группах, в которых все эти данные были «скрыты» настройками приватности, всё лишь подтвердилось. Всё именно так и было: всё, что скрывалось настройками приватности, было доступно в три клика.

Алексей Злодеев, верстальщик

 

 

По словам Злодеева, он собирался сообщить о найденной уязвимости во «ВКонтакте», однако по незнанию воспользовался неподходящими для этого средствами. Сначала он пытался отправить сообщение об уязвимости через баг-трекер «ВКонтакте», но не был в курсе, что он доступен только для зарегистрированных на платформе разработчиков.

 

Затем он отправил информацию о своей находке в vc.ru: там его попросили доказать работоспособность метода. Злодеев принялся экспериментировать с найденным багом и начал публиковать списки администраторов крупных новостных сообществ (РБК, Первого канала, «Известий») у себя в паблике.

 

627d4c51a43b05.jpg

Пример результата ответа, который возвращал API «ВКонтакте»

 

Ссылки на профили пользователей автоматически преобразовались в упоминания: администратор сообщества «Известий» заметил это и сообщил об ошибке во «ВКонтакте». Позднее аккаунт Злодеева в соцсети заблокировали.

 

В разговоре с TJ он признался, что до этого случая не знал о программе вознаграждения за найденные уязвимости Hacker One, в которой участвует«ВКонтакте» (соцсеть регулярно платит от 100 до 500 долларов, но иногда выплачивает более крупные награды — от 2 до 5 тысяч долларов). По его словам, он в итоге не смог подать туда заявку из-за слишком плохого знания английского языка: «Я застопорился на первом же пункте „Тип уязвимости“».

 

Сам верстальщик считал, что блокировка — результат жалоб упомянутых им пользователей на спам. Однако пресс-секретарь «ВКонтакте» Евгений Красников рассказал TJ, что Злодеева заблокировали за публичное эксплуатирование уязвимости, а баг устранили после обращения одного из «разоблачённых» администраторов сообществ.

 

 

Мы полностью устранили эту уязвимость. Пользователя, который воспроизводил её умышленно и публично, пришлось его заблокировать.

Евгений Красников, пресс-секретарь «ВКонтакте»

 

По словам Красникова, вознаграждение обнаружившему уязвимости выплачено не будет: «С террористами переговоров не ведём».

 

Аналогичный случай произошёл в апреле 2015 года: тогда Злодеев изучал тот же метод в API «ВКонтакте» и обнаружил схожую уязвимость. После обращения в поддержку «ВКонтакте» уязвимость закрыли, награды не выплатили, а через некоторое время аккаунт Злодеева был заморожен за якобы спамный пост на стене его собственной группы.

 

53baff2bfc6e3f.jpg

 

Первый широко известный случай такой деанонимизации произошёл в октябре 2014 года: студенты Киевского политехнического институтавыпустили утилиту на основе API «ВКонтакте», которая помогала вычислять администраторов сообществ через ID репостов записей. Если репостов в сообществе не было, вычислять не получалось.

 

Об этом же случае вспоминал Злодеев, по всей видимости считая, что нашёл уязвимость независимо от украинцев. В том случае пресс-секретарь «ВКонтакте» Георгий Лобушкин назвал этот способ разоблачения анонимов «недокументированной фичей». В разговоре с TJ Красников подтвердил, что исправленная в мае уязвимость — это «призрак той истории 2014 года» с «трудновоспроизводимой» уязвимостью.

 

Сам Злодеев писал, что он никакой не хакер и не разработчик, а все эти «уязвимости» (или «незадокументированные фичи») он обнаруживал почти случайно. «Я человек. Человек, которому интересно, как работает то, чем он пользуется чаще одного раза в день. И если в функциональности найден изъян, не поделиться с кем-то этим я не могу. Банально не хватает терпения сдерживать в себе информацию, которая может оказаться полезной некой категории людей, имеющих возможность извлечь из неё выгоду и поделиться со мной знанием, как такие знания использовать», — писал он в апреле 2015 года.

 

 

Источник.





vTjidgO.png17.12CmllNEp.png24.12
yr8fEDt.jpg07.12lDz0Owe.jpg19.12
    • 1
  • Наверх
  • Ответить

ONLINE Отправлено

EXPRESSMON
группа пользователя

    Раскручиваешь группу? Смотри мою подпись!

  • Cообщений: 4 981
  • Друзей:2440
  • Поинты: 219
  • Предупреждений: 10
  • Онлайн:50д 5ч 27м
143

Прочитал, но сложно было  ;)  история борьбы добра со злом :P


  3png_4159603_22221882.png  

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

RockTheStreet
группа пользователя

    Помощник KemperenoК ツ

  • Cообщений: 13 901
  • Поинты: 1 238
  • Предупреждений: 0
  • Онлайн:128д 21ч 50м
450

Нечестно конечно по отношение к типу, что вознаграждение не выплатили ему.


logo.png440c0bc8144f.gif
cf8eb5f808_6362345_23780100.pngproxy6468p_7081009_24272429.png

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

icq
группа пользователя

  • Cообщений: 1 409
  • Друзей:24
  • Поинты: 2
  • Предупреждений: 60
7

Нечестно конечно по отношение к типу, что вознаграждение не выплатили ему.

и еще забанили)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Mantificus
группа пользователя

    Зарегистрировался на ZISMO:11 Апр 2013

  • Cообщений: 1 335
  • Поинты: 917
  • Предупреждений: 0
  • Онлайн:56д 11ч 14м
15

так а щас узнать то можно?


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

BLACK_PRINCE
группа пользователя

    Статус на продаже

  • Cообщений: 3 134
  • Друзей:36
  • Поинты: 7
  • Предупреждений: 60
-398

Та в вк дол*аё*ы  рабоатют.Чувак награды не выплатили хотя бы копейку а ещё и бан дали...Ппц нищие


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

SpaceX
группа пользователя

    =VK.COM/ID77324=

  • Cообщений: 272
  • Поинты: 10
  • Предупреждений: 60
5

так а щас узнать то можно?

раньше было можно через апидог на изиче просто оставляя комент и смотреть кто автор поста, фичу прикрыли..


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

hacizade
группа пользователя

    Продвинутый

  • Cообщений: 10 697
  • Друзей:16
  • Поинты: 22 393
  • Предупреждений: 50
617

Спасибо! интересно..однако сложно было понять 


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

qwertyKEK
группа пользователя

    Трафик = деньги bit.ly/1SVMfxt

  • Cообщений: 1 414
  • Друзей:49
  • Поинты: 2 307
  • Предупреждений: 10
  • Онлайн:24д 2ч 37м
20

так а щас узнать то можно?

в лс пиши, скажу всю инфу про любую группу с не более 50к подписчиков.


    • 1
  • Наверх
  • Ответить

OFFLINE Отправлено

SderA
группа пользователя

    продаю паблик вк жен. 48к чел - в лс

  • Cообщений: 26 756
  • Поинты: 3 176
  • Предупреждений: 10
  • Онлайн:142д 14ч 1м
336

Та в вк дол*аё*ы  рабоатют.Чувак награды не выплатили хотя бы копейку а ещё и бан дали...Ппц нищие

ага,обидно


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

AlexSeller
группа пользователя

    Новичок

  • Cообщений: 36
  • Поинты: 10
  • Предупреждений: 60
0

Ну скорее ему не дали зелени, т.к этот баг он выложил в общий доступ, и все что в " сети " уже публичные. И права на этот баг он потерял


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Saidkhan
группа пользователя

    Самые дешевые IPv6 прокси goo.gl/B5MUK9

  • Cообщений: 9 036
  • Друзей:142
  • Поинты: 4 194
  • Предупреждений: 0
  • Онлайн:71д 23ч 29м
388
*Лоханулся* тип. И вместо благодарности , ему еще и страницу заблокировали.
proxy1.gif
    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

SiniyS
группа пользователя

    Активный

  • Cообщений: 1 038
  • Друзей:13
  • Поинты: 7
  • Предупреждений: 10
  • Онлайн:8д 21ч 6м
7

язык мой - враг мой (clap)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Стасшмель
группа пользователя

    Активный

  • Cообщений: 1 059
  • Поинты: 40
  • Предупреждений: 0
  • Онлайн:8д 15ч 43м
9

:D  (n)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Mr_Sheff
группа пользователя

    Продвинутый юзер

  • Cообщений: 3 248
  • Друзей:102
  • Поинты: 3 311
  • Предупреждений: 0
  • Онлайн:69д 27м
93

И еще обозвали "террористом" (fail)  что за долбонавты там работают ?


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

KolbaserVIP
группа пользователя

    Подниму охват в вашей группе ВК!

  • Cообщений: 6 662
  • Друзей:46
  • Поинты: 27 490
  • Предупреждений: 120
-924

У меня у самого Подслушано есть моего города в поиске на первом месте, и что теперь нельзя такие посты что ли выкладывать бред))


Изображение10.11.2016
    • 0
  • Наверх
  • Ответить



Напишите свое сообщение