Перейти к содержимому



Купить ссылку здесь
Фотография
- - - - -

Два дня назад мы вам уже сообщили, что нашему подписчику удалось найти баг «ВКонтакте»

Форум ZiSMO.biz
25
Сообщений в теме: 25

OFFLINE Отправлено

valera.adv
группа пользователя

    Мои Услуги - http://goo.gl/dY8I11

  • Cообщений: 6 065
  • Поинты: 11
  • Предупреждений: 50
142

Два дня назад мы вам уже сообщили, что нашему подписчику удалось найти баг «ВКонтакте» ( vk.com/wall-90767168_69595 ) и таким образом получить номера телефонов пользователей, прикреплённых к аккаунту. В частности, Алексей (наш подписчик) смог получить номера телефонов Дмитрия МедведеваПавла Дурова и главного разработчика ВКонтакте Олега Илларионова. 

Мы обратились к операционному директору соцсети Андрею Рогозову, который подтвердил факт дыры в системе сайта. Вчера хакер дал нашей редакции эксклюзивное интервью.

- KD: Как вы смогли обнаружить баг в системе?

- Alexey: Пытался найти во ВКонтакте новый номер телефона девушки, чтобы помириться. Решил добавить её подругу в закладки, чтобы, если что — ей написать. Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность.

- KD: В чем, собственно, она заключалась?

- Alexey: Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON формате: {"name":"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} - по сути нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп. Лично мне нужна была помощь команды ВКонтакте. Я стал привлекать внимание через сообщества, одним из них было КД.

-KD: А как отреагивала администрация ВКонтакте?

- Alexey: Было, если честно, смешно. Их онлайны туда-сюда. Может мне показалось, но они нервничали. Я написал Илларионову, через час мне написал Швец, я объяснил, что к чему. Баг подтвердился.

- KD: А Вы пытались позвонить или написать Дмитрию Медведеву или Павлу Дурову?

- Alexey: Я пытался привлечь внимание Дурова через восстановления пароля (и нужно было убедиться самому, что это баг), надеюсь, он заметил. Прикрепил к сообщению о баге все номера, включая их номера, думаю, разработчиков это удивило)) Они написали, сделать репорт на HackerOne, чтобы сделать перевод (хотя я не ради денег это затеял).

-KD: Мы также связались с операционным директором Рогозовым. Он подтвердил, что была дыра в системе. По его словам сейчас она закрыта. Можете это подтвердить?

- Alexey: Сейчас действительно закрыли, но рекомендовал бы им ещё проверять, включая приложения.

-KD: Ранее вы уже обнаруживали баги ВКонтакте?

- Alexey: Кстати, да, были похожие недоработки с доступом и скрытыми данными. Мне удавалось получать картинки и записи со стен людей, у которых я в чс или которые удалены. Писал давно на HackerOne — обрабатывали месяц, поэтому об этом баге я решил заявить громко и с доказательством (их номерами).

-KD: Другие хакеры как-то отреагировали на взлом?

-Alexey: Я общаюсь с несколькими, но, думаю, они не в курсе. Баг не заметный, думаю не больше 1 тысячи знали. Больше всего удивило, что администрация не пишет о баге пользователям, чтобы они поменяли данные.

- KD: Да, это правда странно. Обычно администрация сети сразу сообщает об этом в «Лайв». Может, есть предположения, почему они этого не делают?

- Alexey: Думаю, они не уверены, что таких багов больше нет, или работы ведут уже по их исправлению. Или воскресение выходной.

Как получить баунти от ВКонтакте?

За первый год участия в программе HackerOne было выплачено 167 вознаграждений на общую сумму $70850, при этом лишь каждый 14-й репорт оказывался существенным. Всего в программе приняло участие 178 специалистов по безопасности. 

HackerOne — популярная среди экспертов по компьютерной безопасности со всего мира платформа, благодаря которой специалисты и хакеры могут сообщить компаниям о найденных уязвимостях и получить за это вознаграждение:hackerone.com/vkcom.


Сообщение отредактировал valera.adv: 29 08 2016 - 20:39




    • 3
  • Наверх
  • Ответить

OFFLINE Отправлено

wapgraf
группа пользователя

    Активный

  • Cообщений: 1 650
  • Поинты: 322
  • Предупреждений: 10
  • Онлайн:45д 2ч 35м
40

интересная инфа)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

qwetex_1337
группа пользователя

    Загляни в профиль. Уверен, тебя заинтересует.

  • Cообщений: 6 905
  • Друзей:122
  • Поинты: 586
  • Предупреждений: 20
  • Онлайн:313д 18ч 26м
48
Почитал интересненько.. Какой то даже лёгкий баг..

************.png [17.04]

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

parfenandrej
группа пользователя

    Glory Hole Where strangers become friends

  • Cообщений: 12 515
  • Друзей:2616
  • Поинты: 431
  • Предупреждений: 10
  • Онлайн:77д 37м
619

Стимерша Карина

И Сычёва, которую сбил поезд

взял бы их номера

и названивал бы им


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

NOVES
группа пользователя

    Помощник TiR

  • Cообщений: 17 109
  • Поинты: 1 577
  • Предупреждений: 0
  • Онлайн:114д 20ч 40м
630

Спасибо, интересная статья) 


36ef3fae8db0.gifefa2d7905772.gif

efa2d7905772.gifimage.gif

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

GoodDoctor
группа пользователя

    Трафовыжималка для fotostrana.ru zismo.biz/topic/711460

  • Cообщений: 5 267
  • Поинты: 2
  • Предупреждений: 0
  • Онлайн:187д 22м
279

спасибо и вправду интересно почитать 


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

gabbhack
группа пользователя

    Zismo Mobile App tr.im/zgp

  • Cообщений: 4 861
  • Поинты: 550
  • Предупреждений: 10
  • Онлайн:75д 14ч 44м
277

спасибо, было интересно

думаю Дурову все таки смс дошла)

а такие баги скорей правила чем исключения, особенно с глобальными переменами 


e28855e14149.jpg

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

leaflex
группа пользователя

    Покупаю рекламу в группах

  • Cообщений: 945
  • Поинты: 6
  • Предупреждений: 10
  • Онлайн:41д 13ч 38м
14

хакеры, которые говорят что они хакеры, они наверное не хакеры


    • 2
  • Наверх
  • Ответить

OFFLINE Отправлено

By -Wolf-
группа пользователя

    •Активный•

  • Cообщений: 2 873
  • Друзей:41
  • Поинты: 47
  • Предупреждений: 50
36

Спасибо, интересная статья)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Владимир Белов
группа пользователя

    Продвинутый

  • Cообщений: 4 875
  • Друзей:529
  • Поинты: 164
  • Предупреждений: 0
  • Онлайн:164д 13ч 3м
94

очень интересно))) 


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Stn
группа пользователя

    Новичок

  • Cообщений: 29
  • Поинты: 23
  • Предупреждений: 0
  • Онлайн:1д 11ч 46м
1
Теперь меня мучает один вопрос - парень с бабой то помирился?
    • 1
  • Наверх
  • Ответить

OFFLINE Отправлено

dark111
группа пользователя

    Продам раскрученные аккаунты instagram.

  • Cообщений: 2 211
  • Поинты: 50
  • Предупреждений: 11
  • Онлайн:82д 13ч 24м
45

Стимерша Карина

И Сычёва, которую сбил поезд

взял бы их номера

и названивал бы им

Могу дать номер Сталина или Гитлера. будешь названивать им!


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

ferdhinand
группа пользователя

    Пользователь

  • Cообщений: 204
  • Друзей:7
  • Поинты: 8
  • Предупреждений: 40
  • Онлайн:11д 20ч 53м
-2

Теперь меня мучает один вопрос - парень с бабой то помирился?

ахахаххаха красава, вот респект тебе полнейший за это сообщение))))


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

parfenandrej
группа пользователя

    Glory Hole Where strangers become friends

  • Cообщений: 12 515
  • Друзей:2616
  • Поинты: 431
  • Предупреждений: 10
  • Онлайн:77д 37м
619

Могу дать номер Сталина или Гитлера. будешь названивать им!

Чапаев есть?


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

dark111
группа пользователя

    Продам раскрученные аккаунты instagram.

  • Cообщений: 2 211
  • Поинты: 50
  • Предупреждений: 11
  • Онлайн:82д 13ч 24м
45

Теперь меня мучает один вопрос - парень с бабой то помирился?

Он хакер он может её заставить или он добавит её в список особо опасных и несколько убийств припишет.


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

dark111
группа пользователя

    Продам раскрученные аккаунты instagram.

  • Cообщений: 2 211
  • Поинты: 50
  • Предупреждений: 11
  • Онлайн:82д 13ч 24м
45

Чапаев есть?

Нет. но можно у Ленина спросить.

 

 

интересная инфа)

Пользы уже нету. 


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Вячеслав Норинов
группа пользователя

    Мошенник

  • Cообщений: 10 586
  • Друзей:556
  • Поинты: 3
  • Предупреждений: 50
466

Спасибо, все прочитал, интересно.

В репу не дам , лимит :с


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

_shadow_
группа пользователя

    Активный

  • Cообщений: 2 064
  • Друзей:58
  • Поинты: 253
  • Предупреждений: 50
227

Почитал интересненько.. Какой то даже лёгкий баг..


ГОЛОСА ПОКУПКА/ПРОДАЖА ПО 3.5 РУБ. ПОДРОБНЕЕ ТУТ Ссылка
 

 

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Grad
группа пользователя

    За белое продвижение :)

  • Cообщений: 2 052
  • Поинты: 38
  • Предупреждений: 11
  • Онлайн:18д 21ч 53м
46

baggerboga - самый лутший баггер!

 

неужели, это не он был  (giggle)

 

 

а так, поди хакер все номера втихую переписал, но не афиширует.


    • 0
  • Наверх
  • Ответить

ONLINE Отправлено

Mr_Sheff
группа пользователя

    Продвинутый юзер

  • Cообщений: 3 605
  • Друзей:134
  • Поинты: 4 552
  • Предупреждений: 0
  • Онлайн:90д 5ч 6м
130

О таком вообще говорить не стоило! к тому же если он и не собирался бабки получать от вк - получил бы от других, да побольше, и втихую бы этим багом определенные лица пользовались некоторое время (giggle)


    • 0
  • Наверх
  • Ответить



Напишите свое сообщение