Интервью с хакером, получившим доступ к телефонам всех пользователей «ВКонтакте»
Читать первым в Telegram-канале «Код Дурова»
27 августа 2016 вам уже сообщили, что нашему подписчику удалось найти баг во «ВКонтакте» и таким образом получить номера телефонов пользователей, прикреплённых к аккаунту. В частности, Алексей (наш подписчик) смог получить номера телефонов Дмитрия Медведева, Павла Дурова и главного разработчика ВКонтакте Олега Илларионова. Мы обратились к операционному директору соцсети Андрею Рогозову, который подтвердил факт дыры в системе сайта. Вчера хакер дал нашей редакции эксклюзивное интервью.
- Как вы смогли обнаружить баг в системе?
- Пытался найти во ВКонтакте новый номер телефона девушки, чтобы помириться. Решил добавить её подругу в закладки, чтобы, если что — ей написать. Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе 'закладки' я и обнаружил странность.
- В чем, собственно, она заключалась?
- Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON формате: {"name":"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} - по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп. Лично мне нужна была помощь команды ВКонтакте. Я стал привлекать внимание через сообщества, одним из них было КД.
- А как отреагировала администрация ВКонтакте?
- Было, если честно, смешно. Их онлайны туда-сюда. Может мне показалось, но они нервничали. Я написал Илларионову, через час мне написал Швец, я объяснил, что к чему. Баг подтвердился.
- А Вы пытались позвонить или написать Дмитрию Медведеву или Павлу Дурову?
- Я пытался привлечь внимание Дурова через восстановление пароля (и нужно было убедиться самому, что это баг), надеюсь, он заметил. Прикрепил к сообщению о баге все номера, включая их номера, думаю, разработчиков это удивило)) Они написали сделать репорт на HackerOne, чтобы сделать перевод (хотя я не ради денег это затеял).
- Мы также связались с операционным директором Рогозовым. Он подтвердил, что была дыра в системе. По его словам, сейчас она закрыта. Можете это подтвердить?
- Сейчас действительно закрыли, но рекомендовал бы им ещё проверять, включая приложения.
- Ранее вы уже обнаруживали баги во ВКонтакте?
- Кстати, да, были похожие недоработки с доступом и скрытыми данными. Мне удавалось получать картинки и записи со стен людей, у которых я в чс или которые удалены. Писал давно на HackerOne — обрабатывали месяц, поэтому об этом баге я решил заявить громко и с доказательством (их номерами).
- Другие хакеры как-то отреагировали на взлом?
- Я общаюсь с несколькими, но, думаю, они не в курсе. Баг незаметный, думаю, не больше 1 тысячи знали. Больше всего удивило, что администрация не пишет о баге пользователям, чтобы они поменяли данные.
- Да, это правда странно. Обычно администрация сети сразу сообщает об этом в «Лайв». Может, есть предположения, почему они этого не делают?
- Думаю, они не уверены, что таких багов больше нет, или работы ведутся уже по их исправлению. Или воскресение — выходной.
Как получить баунти от ВКонтакте?
За первый год участия в программе HackerOne было выплачено 167 вознаграждений на общую сумму $70850, при этом лишь каждый 14-й репорт оказывался существенным. Всего в программе приняло участие 178 специалистов по безопасности.
HackerOne — популярная среди экспертов по компьютерной безопасности со всего мира платформа, благодаря которой специалисты и хакеры могут сообщить компаниям о найденных уязвимостях и получить за это вознаграждение: hackerone.com/vkcom.
Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!