Перейти к содержимому



Купить ссылку здесь
Фотография
- - - - -

Два дня назад мы вам уже сообщили, что нашему подписчику удалось найти баг «ВКонтакте»

Форум ZiSMO.biz
25
Сообщений в теме: 25

OFFLINE Отправлено

valera.adv
группа пользователя

    Мои Услуги - http://goo.gl/dY8I11

  • Cообщений: 6 065
  • Поинты: 12
  • Предупреждений: 50
142

Два дня назад мы вам уже сообщили, что нашему подписчику удалось найти баг «ВКонтакте» ( vk.com/wall-90767168_69595 ) и таким образом получить номера телефонов пользователей, прикреплённых к аккаунту. В частности, Алексей (наш подписчик) смог получить номера телефонов Дмитрия МедведеваПавла Дурова и главного разработчика ВКонтакте Олега Илларионова. 

Мы обратились к операционному директору соцсети Андрею Рогозову, который подтвердил факт дыры в системе сайта. Вчера хакер дал нашей редакции эксклюзивное интервью.

- KD: Как вы смогли обнаружить баг в системе?

- Alexey: Пытался найти во ВКонтакте новый номер телефона девушки, чтобы помириться. Решил добавить её подругу в закладки, чтобы, если что — ей написать. Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность.

- KD: В чем, собственно, она заключалась?

- Alexey: Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON формате: {"name":"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} - по сути нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп. Лично мне нужна была помощь команды ВКонтакте. Я стал привлекать внимание через сообщества, одним из них было КД.

-KD: А как отреагивала администрация ВКонтакте?

- Alexey: Было, если честно, смешно. Их онлайны туда-сюда. Может мне показалось, но они нервничали. Я написал Илларионову, через час мне написал Швец, я объяснил, что к чему. Баг подтвердился.

- KD: А Вы пытались позвонить или написать Дмитрию Медведеву или Павлу Дурову?

- Alexey: Я пытался привлечь внимание Дурова через восстановления пароля (и нужно было убедиться самому, что это баг), надеюсь, он заметил. Прикрепил к сообщению о баге все номера, включая их номера, думаю, разработчиков это удивило)) Они написали, сделать репорт на HackerOne, чтобы сделать перевод (хотя я не ради денег это затеял).

-KD: Мы также связались с операционным директором Рогозовым. Он подтвердил, что была дыра в системе. По его словам сейчас она закрыта. Можете это подтвердить?

- Alexey: Сейчас действительно закрыли, но рекомендовал бы им ещё проверять, включая приложения.

-KD: Ранее вы уже обнаруживали баги ВКонтакте?

- Alexey: Кстати, да, были похожие недоработки с доступом и скрытыми данными. Мне удавалось получать картинки и записи со стен людей, у которых я в чс или которые удалены. Писал давно на HackerOne — обрабатывали месяц, поэтому об этом баге я решил заявить громко и с доказательством (их номерами).

-KD: Другие хакеры как-то отреагировали на взлом?

-Alexey: Я общаюсь с несколькими, но, думаю, они не в курсе. Баг не заметный, думаю не больше 1 тысячи знали. Больше всего удивило, что администрация не пишет о баге пользователям, чтобы они поменяли данные.

- KD: Да, это правда странно. Обычно администрация сети сразу сообщает об этом в «Лайв». Может, есть предположения, почему они этого не делают?

- Alexey: Думаю, они не уверены, что таких багов больше нет, или работы ведут уже по их исправлению. Или воскресение выходной.

Как получить баунти от ВКонтакте?

За первый год участия в программе HackerOne было выплачено 167 вознаграждений на общую сумму $70850, при этом лишь каждый 14-й репорт оказывался существенным. Всего в программе приняло участие 178 специалистов по безопасности. 

HackerOne — популярная среди экспертов по компьютерной безопасности со всего мира платформа, благодаря которой специалисты и хакеры могут сообщить компаниям о найденных уязвимостях и получить за это вознаграждение:hackerone.com/vkcom.


Сообщение отредактировал valera.adv: 29 08 2016 - 20:39




    • 3
  • Наверх
  • Ответить

OFFLINE Отправлено

wapgraf
группа пользователя

    Уровень 2

  • Cообщений: 1 768
  • Поинты: 935
  • Предупреждений: 0
  • Онлайн:51д 18ч 28м
46

интересная инфа)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

qwetex_1337
группа пользователя

    coder | PHP

  • Cообщений: 7 509
  • Друзей:141
  • Поинты: 4
  • Предупреждений: 20
  • Онлайн:332д 9ч 17м
50
Почитал интересненько.. Какой то даже лёгкий баг..
    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

parfenandrej
группа пользователя

  • Cообщений: 13 262
  • Друзей:2735
  • Поинты: 231
  • Предупреждений: 0
  • Онлайн:80д 19ч 26м
823

Стимерша Карина

И Сычёва, которую сбил поезд

взял бы их номера

и названивал бы им


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

NOVES
группа пользователя

    ¯\_(ツ)_/¯

  • Cообщений: 17 750
  • Поинты: 1 712
  • Предупреждений: 0
  • Онлайн:127д 4ч 7м
688

Спасибо, интересная статья) 


14099701.gif957067afe3a7.gif Раскрученные аккаунты VK с друзьями - zismo.biz/topic/744195
785c74551bfc.gifimage.gif Раскрученные аккаунты VK с друзьями - zismo.biz/topic/744195
    • 0
  • Наверх
  • Ответить

ONLINE Отправлено

GoodDoctor
группа пользователя

    Короткие 6 знаки ВК zismo.biz/topic/853707

  • Cообщений: 5 480
  • Друзей:120
  • Поинты: 11
  • Предупреждений: 0
  • Онлайн:216д 10ч 21м
302

спасибо и вправду интересно почитать 


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

gabbhack
группа пользователя

    blog.xakep.pw

  • Cообщений: 5 238
  • Поинты: 1 616
  • Предупреждений: 0
  • Онлайн:86д 14ч 48м
344

спасибо, было интересно

думаю Дурову все таки смс дошла)

а такие баги скорей правила чем исключения, особенно с глобальными переменами 


    e28855e14149.jpg   

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

leaflex
группа пользователя

    Покупаю рекламу в группах

  • Cообщений: 945
  • Поинты: 6
  • Предупреждений: 10
  • Онлайн:41д 16ч 49м
14

хакеры, которые говорят что они хакеры, они наверное не хакеры


    • 2
  • Наверх
  • Ответить

OFFLINE Отправлено

By -Wolf-
группа пользователя

    •Активный•

  • Cообщений: 2 873
  • Друзей:41
  • Поинты: 47
  • Предупреждений: 50
36

Спасибо, интересная статья)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Владимир Белов
группа пользователя

    Уровень 3

  • Cообщений: 4 876
  • Друзей:547
  • Поинты: 7
  • Предупреждений: 0
  • Онлайн:165д 4ч 24м
96

очень интересно))) 


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Stn
группа пользователя

    Уровень 1

  • Cообщений: 29
  • Поинты: 23
  • Предупреждений: 0
  • Онлайн:1д 11ч 46м
1
Теперь меня мучает один вопрос - парень с бабой то помирился?
    • 1
  • Наверх
  • Ответить

OFFLINE Отправлено

dark111
группа пользователя

    Продам раскрученные аккаунты instagram.

  • Cообщений: 2 211
  • Поинты: 1
  • Предупреждений: 11
  • Онлайн:82д 13ч 24м
45

Стимерша Карина

И Сычёва, которую сбил поезд

взял бы их номера

и названивал бы им

Могу дать номер Сталина или Гитлера. будешь названивать им!


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

ferdhinand
группа пользователя

    Уровень 1

  • Cообщений: 204
  • Друзей:7
  • Поинты: 8
  • Предупреждений: 40
  • Онлайн:11д 20ч 53м
-2

Теперь меня мучает один вопрос - парень с бабой то помирился?

ахахаххаха красава, вот респект тебе полнейший за это сообщение))))


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

parfenandrej
группа пользователя

  • Cообщений: 13 262
  • Друзей:2735
  • Поинты: 231
  • Предупреждений: 0
  • Онлайн:80д 19ч 26м
823

Могу дать номер Сталина или Гитлера. будешь названивать им!

Чапаев есть?


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

dark111
группа пользователя

    Продам раскрученные аккаунты instagram.

  • Cообщений: 2 211
  • Поинты: 1
  • Предупреждений: 11
  • Онлайн:82д 13ч 24м
45

Теперь меня мучает один вопрос - парень с бабой то помирился?

Он хакер он может её заставить или он добавит её в список особо опасных и несколько убийств припишет.


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

dark111
группа пользователя

    Продам раскрученные аккаунты instagram.

  • Cообщений: 2 211
  • Поинты: 1
  • Предупреждений: 11
  • Онлайн:82д 13ч 24м
45

Чапаев есть?

Нет. но можно у Ленина спросить.

 

 

интересная инфа)

Пользы уже нету. 


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Вячеслав Норинов
группа пользователя

    Мошенник

  • Cообщений: 10 586
  • Друзей:556
  • Поинты: 4
  • Предупреждений: 50
466

Спасибо, все прочитал, интересно.

В репу не дам , лимит :с


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

_shadow_
группа пользователя

    Уровень 2

  • Cообщений: 2 064
  • Друзей:58
  • Поинты: 4
  • Предупреждений: 50
228

Почитал интересненько.. Какой то даже лёгкий баг..


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Grad
группа пользователя

    За белое продвижение :)

  • Cообщений: 2 092
  • Поинты: 12
  • Предупреждений: 11
  • Онлайн:20д 4ч 58м
48

baggerboga - самый лутший баггер!

 

неужели, это не он был  (giggle)

 

 

а так, поди хакер все номера втихую переписал, но не афиширует.


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Mr_Sheff
группа пользователя

    Продвинутый юзер

  • Cообщений: 3 980
  • Друзей:146
  • Поинты: 5 320
  • Предупреждений: 0
  • Онлайн:113д 8ч 51м
137

О таком вообще говорить не стоило! к тому же если он и не собирался бабки получать от вк - получил бы от других, да побольше, и втихую бы этим багом определенные лица пользовались некоторое время (giggle)


    • 0
  • Наверх
  • Ответить



Напишите свое сообщение