9 июля 2025

eur = 91.97 -0.45 (-0.48 %)

btc = 108 542.00$ 534.56 (0.49 %)

eth = 2 602.28$ 59.20 (2.33 %)

ton = 2.82$ 0.07 (2.63 %)

usd = 78.17 -0.55 (-0.70 %)

eur = 91.97 -0.45 (-0.48 %)

btc = 108 542.00$ 534.56 (0.49 %)

Интервью с хакером, получившим доступ к телефонам всех пользователей «ВКонтакте»

2 минуты на чтение
Интервью с хакером, получившим доступ к телефонам всех пользователей «ВКонтакте»

27 августа 2016 вам уже сообщили, что нашему подписчику удалось найти баг во «ВКонтакте» и таким образом получить номера телефонов пользователей, прикреплённых к аккаунту. В частности, Алексей (наш подписчик) смог получить номера телефонов Дмитрия Медведева, Павла Дурова и главного разработчика ВКонтакте Олега Илларионова. Мы обратились к операционному директору соцсети Андрею Рогозову, который подтвердил факт дыры в системе сайта. Вчера хакер дал нашей редакции эксклюзивное интервью.

- Как вы смогли обнаружить баг в системе?

  • Пытался найти во ВКонтакте новый номер телефона девушки, чтобы помириться. Решил добавить её подругу в закладки, чтобы, если что — ей написать. Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе 'закладки' я и обнаружил странность.

- В чем, собственно, она заключалась?

  • Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON формате: {"name":"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} - по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп. Лично мне нужна была помощь команды ВКонтакте. Я стал привлекать внимание через сообщества, одним из них было КД.

- А как отреагировала администрация ВКонтакте?

  • Было, если честно, смешно. Их онлайны туда-сюда. Может мне показалось, но они нервничали. Я написал Илларионову, через час мне написал Швец, я объяснил, что к чему. Баг подтвердился.

- А Вы пытались позвонить или написать Дмитрию Медведеву или Павлу Дурову?

  • Я пытался привлечь внимание Дурова через восстановление пароля (и нужно было убедиться самому, что это баг), надеюсь, он заметил. Прикрепил к сообщению о баге все номера, включая их номера, думаю, разработчиков это удивило)) Они написали сделать репорт на HackerOne, чтобы сделать перевод (хотя я не ради денег это затеял).

- Мы также связались с операционным директором Рогозовым. Он подтвердил, что была дыра в системе. По его словам, сейчас она закрыта. Можете это подтвердить?

  • Сейчас действительно закрыли, но рекомендовал бы им ещё проверять, включая приложения.

- Ранее вы уже обнаруживали баги во ВКонтакте?

  • Кстати, да, были похожие недоработки с доступом и скрытыми данными. Мне удавалось получать картинки и записи со стен людей, у которых я в чс или которые удалены. Писал давно на HackerOne — обрабатывали месяц, поэтому об этом баге я решил заявить громко и с доказательством (их номерами).

- Другие хакеры как-то отреагировали на взлом?

  • Я общаюсь с несколькими, но, думаю, они не в курсе. Баг незаметный, думаю, не больше 1 тысячи знали. Больше всего удивило, что администрация не пишет о баге пользователям, чтобы они поменяли данные.

- Да, это правда странно. Обычно администрация сети сразу сообщает об этом в «Лайв». Может, есть предположения, почему они этого не делают?

  • Думаю, они не уверены, что таких багов больше нет, или работы ведутся уже по их исправлению. Или воскресение — выходной.

Как получить баунти от ВКонтакте?

За первый год участия в программе HackerOne было выплачено 167 вознаграждений на общую сумму $70850, при этом лишь каждый 14-й репорт оказывался существенным. Всего в программе приняло участие 178 специалистов по безопасности.

HackerOne — популярная среди экспертов по компьютерной безопасности со всего мира платформа, благодаря которой специалисты и хакеры могут сообщить компаниям о найденных уязвимостях и получить за это вознаграждение: hackerone.com/vkcom.

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
Госдума отклонила законопроект о легалиации деятельности «белых» хакеров

GigaChat Max: коротко о главном

Госдума отклонила законопроект о легалиации деятельности «белых» хакеров

Полная версия 
Слух: эксклюзивный цвет iPhone 17 AirСлух: эксклюзивный цвет iPhone 17 AirСлух: эксклюзивный цвет iPhone 17 Air

GigaChat Max: коротко о главном

Слух: эксклюзивный цвет iPhone 17 Air

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 373
OTP Bank
Газпромбанк
Т-Банк
X5 Tech
билайн
Сбер
МТС
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы