Перейти к содержимому



Купить ссылку здесь
Фотография
- - - - -

Хакер узнал телефоны Дурова и Медведева через уязвимость в редизайне «ВКонтакт

Форум ZiSMO.biz
  • Закрытая тема Тема закрыта
19
Сообщений в теме: 19

OFFLINE Отправлено

alenaxx
группа пользователя

    За мотивацией сюда - https://boomstarter.ru/projects/yamoskal/fi

  • Cообщений: 117
  • Друзей:9
  • Поинты: 32
  • Предупреждений: 0
  • Онлайн:3д 15ч 37м
2

Хакер под ником Алекс Ребл обнаружил, что через закладки «ВКонтакте» можно узнать привязанные к аккаунту в соцсети номер телефона и адрес электронной почты, и получил телефоны, связанные с аккаунтами Павла Дурова и Дмитрия Медведева. В администрации «ВКонтакте» подтвердили, что такая ошибка существовала, но была исправлена, однако публично о ней не рассказывали.

9e023860736501.jpg

Впервые об обнаруженном Реблом баге 28 августа сообщило сообщество «Код Дурова» во «ВКонтакте». На следующий день в сообществе появилось интервью со взломщиком, заявившим, что он смог получить доступ к личным данным Павла Дурова, операционного директора «ВКонтакте» Андрея Рогозова и разработчика соцсети Олега Илларионова, а также премьер-министра РФ Дмитрия Медведева.

По словам Ребла, изначально он обнаружил баг, якобы пытаясь связаться со своей девушкой, чтобы помириться. Он добавил в закладки во «ВКонтакте» её подруг, а затем обнаружил данные, которые для него должны были быть недоступны.

Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность. […]

Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON-формате: {"name":"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} — по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. 

Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп. 

Алекс Ребл, хакер

Как рассказал TJ администратор сообщества «Код Дурова» Михаил Верник, он связывался с Рогозовым, и тот подтвердил ему наличие ошибки, однако заявил, что публично о ней рассказывать в ближайшее время не будут. По словам Верника, обнаруженные Реблом телефоны были реальными, проверять не стали только номер Медведева (вероятно, он принадлежит сотруднику его пресс-службы), однако его почта была привязана к адресу на домене .gov.

Ребл заявил, что изначально не рассчитывал на вознаграждение за найденную уязвимость, а решил привлечь внимание администрации «ВКонтакте», чтобы ошибка была исправлена. Однако во «ВКонтакте» попросили его написать отчёт об ошибке на HackerOne — платформе, через которую соцсеть выплачивает вознаграждения за найденные уязвимости.

Вечером 29 августа Реал намекнул, что администрация соцсети отказала ему в выплате вознаграждения. По его словам, номера девушки он так и не нашёл, хотя технически он мог проверить любого пользователя «ВКонтакте».

f75208049a9507.png

(Любовь-страшная сила)

По мнению Ребла, об ошибке мог знать существенный круг людей — до тысячи человек. Его удивило то, что администрация соцсети не предупредила пользователей об уязвимости и не попросила поменять личные данные.

В пресс-службе «ВКонтакте» подтвердили TJ, что уязвимость была устранена, однако назвали её «не опасной для пользователей» несмотря на нарушение приватности. По словам пресс-секретаря соцсети Евгения Красникова, баг был неопасным, так как «доступа к аккаунту пользователя с помощью тех данных, которые можно было узнать из-за этого бага, получить невозможно».

Для таких больших интернет-ресурсов, как «ВКонтакте», баги и ошибки в коде, к сожалению, неизбежны. Все критичные уязвимости мы стараемся устранять максимально оперативно. Баг, который позволял узнать номер телефона, привязанный к странице, был также исправлен сразу после того, как мы о нём узнали, хотя и не представлял опасности для безопасности пользователей. (ага,не представлял  (rofl))

 

Сообщения о потенциальных уязвимостях сайта мы рекомендуем отправлять через платформу HackerOne, где за подтверждённые баги выплачивается вознаграждение.

Евгений Красников, пресс-секретарь «ВКонтакте»

Сам Ребл пояснил в разговоре с TJ, что «на HackerOne они месяц отвечают, вот они и решили не платить». По словам Красникова, невыплата премии связана с тем, что хакер эксплуатировал уязвимость: «Мы в таких случаях никогда не выплачиваем вознаграждения». (Вот и помогай после этого (n) )

В пресс-службе правительства РФ заверили TJ, что номер телефона, привязанный к аккаунту Дмитрия Медведева во «ВКонтакте», является техническим, принадлежит сотрудникам пресс-службы и не имеет отношения к премьер-министру. Уточнять, был ли номер изменён после сообщения об уязвимости, в пресс-службе правительства не стали, но заявили, что предпринимаются все необходимые усилия для обеспечения безопасности официальных каналов.

копипаст ,ссылка на источник Ссылка( не реклама) 

 





    • 2
  • Наверх

OFFLINE Отправлено

Web Developer
Pip

    Программист

  • Cообщений: 81
  • Друзей:2
  • Поинты: 20
  • Предупреждений: 10
0

Вхах, прикольно.

Но суть уязвимости не понял таки:D


    • 0
  • Наверх

OFFLINE Отправлено

vladnkp
группа пользователя

    Связь vk.com/vladnkp

  • Cообщений: 1 140
  • Друзей:31
  • Поинты: 5
  • Предупреждений: 50
28

Ахах) Хорошая тема) Респект за инфу) (rofl)  (rofl)  (clap)  (h5)  (h5)


    • 0
  • Наверх

OFFLINE Отправлено

Next-zZ
группа пользователя

    Обмен без привязок: http://o3t.xyz/obmen

  • Cообщений: 8 500
  • Друзей:149
  • Поинты: 285
  • Предупреждений: 0
  • Онлайн:84д 8ч 22м
336

Интересно, он не пытался позвонить Медведеву ? 


    • 0
  • Наверх

OFFLINE Отправлено

alenaxx
группа пользователя

    За мотивацией сюда - https://boomstarter.ru/projects/yamoskal/fi

  • Cообщений: 117
  • Друзей:9
  • Поинты: 32
  • Предупреждений: 0
  • Онлайн:3д 15ч 37м
2

Интересно, он не пытался позвонить Медведеву ? 

 

думаю,что в интервью точно бы не упомянул этого)


    • 0
  • Наверх

OFFLINE Отправлено

Konstantino)
группа пользователя

    С 15.06.16 в армии

  • Cообщений: 15 685
  • Поинты: 541
  • Предупреждений: 0
  • Онлайн:115д 2ч 23м
473
Было уже)
    • -2
  • Наверх

OFFLINE Отправлено

Танцор
группа пользователя

    Пользователь

  • Cообщений: 308
  • Друзей:3
  • Поинты: 0
  • Предупреждений: 50
3

хех))) норм так хаккер


    • 0
  • Наверх

OFFLINE Отправлено

Владимир Белов
группа пользователя

    Продвинутый

  • Cообщений: 4 875
  • Друзей:529
  • Поинты: 164
  • Предупреждений: 0
  • Онлайн:164д 13ч 3м
94

было!


    • -1
  • Наверх

OFFLINE Отправлено

froggy
группа пользователя

    сдам подпись в аренду недорого . писать в лс

  • Cообщений: 8 582
  • Друзей:138
  • Поинты: 4
  • Предупреждений: 50
392
очень старая тема
    • 0
  • Наверх

OFFLINE Отправлено

-Dynamite-
группа пользователя

    Лучшие недорогие прокси для всех - http://vipurl.ru/proxy6

  • Cообщений: 187
  • Друзей:12
  • Поинты: 21
  • Предупреждений: 0
  • Онлайн:2д 7ч 47м
4

баян


    • 0
  • Наверх

OFFLINE Отправлено

GololosikiTUT
группа пользователя

    Продаю Голоса ВК!

  • Cообщений: 1 330
  • Друзей:28
  • Поинты: 11
  • Предупреждений: 10
  • Онлайн:26д 12ч 19м
58

Прикольно.


    • 0
  • Наверх

OFFLINE Отправлено

alenaxx
группа пользователя

    За мотивацией сюда - https://boomstarter.ru/projects/yamoskal/fi

  • Cообщений: 117
  • Друзей:9
  • Поинты: 32
  • Предупреждений: 0
  • Онлайн:3д 15ч 37м
2

и

 

было!

извиняюсь,не видела ранее) Возможно,кто-то тоже не видел и найдет её интересной)


    • 0
  • Наверх

OFFLINE Отправлено

Next-zZ
группа пользователя

    Обмен без привязок: http://o3t.xyz/obmen

  • Cообщений: 8 500
  • Друзей:149
  • Поинты: 285
  • Предупреждений: 0
  • Онлайн:84д 8ч 22м
336

и

 

извиняюсь,не видела ранее) Возможно,кто-то тоже не видел и найдет её интересной)

ну вот я как раз таки впервые вижу ) 


    • 0
  • Наверх

OFFLINE Отправлено

Light116
группа пользователя

    Новичок

  • Cообщений: 82
  • Друзей:4
  • Поинты: 15
  • Предупреждений: 0
  • Онлайн:1д 10ч 30м
-1
Щас Дурову позвоню)))
    • 0
  • Наверх

OFFLINE Отправлено

instascope
группа пользователя

    Здесь может быть твоя реклама!

  • Cообщений: 1 032
  • Друзей:23
  • Поинты: 36
  • Предупреждений: 20
  • Онлайн:17д 6ч 33м
43
Замечательно :)
    • 0
  • Наверх

OFFLINE Отправлено

divert
группа пользователя

    Продвинутый

  • Cообщений: 4 065
  • Друзей:187
  • Поинты: 1 628
  • Предупреждений: 10
  • Онлайн:26д 20ч 44м
49

Подобная ситуация была с ютубом, где хакер нашел уязвимость с помощью котороый можно было удалить все видосы любого канала..Я вот не понимаю, таким гигинтам жалко отдать ту же 1000$? Для вас копейки - людям приятно


    • 0
  • Наверх

ONLINE Отправлено

Vl-ad-im-ir
группа пользователя

    Всем Бобра)

  • Cообщений: 19 358
  • Друзей:222
  • Поинты: 28 268
  • Предупреждений: 0
  • Онлайн:93д 10ч 30м
579

Вот так новость :D


    • 0
  • Наверх

ONLINE Отправлено

dzhesov
группа пользователя

    Продам красивый 6-знак icq: 8*7788

  • Cообщений: 2 215
  • Друзей:89
  • Поинты: 186
  • Предупреждений: 0
  • Онлайн:23д 13ч 4м
65

Баян :(


Сообщение отредактировал dzhesov: 01 10 2016 - 00:37

    • 0
  • Наверх

OFFLINE Отправлено

ViPok
группа пользователя

    Деньги решают все, что, мы решаем с ними

  • Cообщений: 1 166
  • Поинты: 791
  • Предупреждений: 0
  • Онлайн:47д 7ч 57м
55

почти месяц прошел уже,тс ты баянист дикий


    • 0
  • Наверх

ONLINE Отправлено

on3shot
группа пользователя

    меняю мани от 5%

  • Cообщений: 26 293
  • Друзей:3654
  • Поинты: 1 021
  • Предупреждений: 0
  • Онлайн:175д 12ч 7м
1 515
Было.
image.gifsocialkit2.gif
    • 0
  • Наверх