Интервью с хакером, получившим доступ к телефонам всех пользователей «ВКонтакте»

27 августа 2016 вам уже сообщили, что нашему подписчику удалось найти баг во «ВКонтакте» и таким образом получить номера телефонов пользователей, прикреплённых к аккаунту. В частности, Алексей (наш подписчик) смог получить номера телефонов Дмитрия Медведева, Павла Дурова и главного разработчика ВКонтакте Олега Илларионова. Мы обратились к операционному директору соцсети Андрею Рогозову, который подтвердил факт дыры в системе сайта. Вчера хакер дал нашей редакции эксклюзивное интервью.

- Как вы смогли обнаружить баг в системе?

• Пытался найти во ВКонтакте новый номер телефона девушки, чтобы помириться. Решил добавить её подругу в закладки, чтобы, если что — ей написать. Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе 'закладки' я и обнаружил странность.

- В чем, собственно, она заключалась?

• Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON формате: {"name":"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} - по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп. Лично мне нужна была помощь команды ВКонтакте. Я стал привлекать внимание через сообщества, одним из них было КД.

- А как отреагировала администрация ВКонтакте?

• Было, если честно, смешно. Их онлайны туда-сюда. Может мне показалось, но они нервничали. Я написал Илларионову, через час мне написал Швец, я объяснил, что к чему. Баг подтвердился.

- А Вы пытались позвонить или написать Дмитрию Медведеву или Павлу Дурову?

• Я пытался привлечь внимание Дурова через восстановление пароля (и нужно было убедиться самому, что это баг), надеюсь, он заметил. Прикрепил к сообщению о баге все номера, включая их номера, думаю, разработчиков это удивило)) Они написали сделать репорт на HackerOne, чтобы сделать перевод (хотя я не ради денег это затеял).

- Мы также связались с операционным директором Рогозовым. Он подтвердил, что была дыра в системе. По его словам, сейчас она закрыта. Можете это подтвердить?

• Сейчас действительно закрыли, но рекомендовал бы им ещё проверять, включая приложения.

- Ранее вы уже обнаруживали баги во ВКонтакте?

• Кстати, да, были похожие недоработки с доступом и скрытыми данными. Мне удавалось получать картинки и записи со стен людей, у которых я в чс или которые удалены. Писал давно на HackerOne — обрабатывали месяц, поэтому об этом баге я решил заявить громко и с доказательством (их номерами).

- Другие хакеры как-то отреагировали на взлом?

• Я общаюсь с несколькими, но, думаю, они не в курсе. Баг незаметный, думаю, не больше 1 тысячи знали. Больше всего удивило, что администрация не пишет о баге пользователям, чтобы они поменяли данные.

- Да, это правда странно. Обычно администрация сети сразу сообщает об этом в «Лайв». Может, есть предположения, почему они этого не делают?

• Думаю, они не уверены, что таких багов больше нет, или работы ведутся уже по их исправлению. Или воскресение — выходной.

Как получить баунти от ВКонтакте?

За первый год участия в программе HackerOne было выплачено 167 вознаграждений на общую сумму $70850, при этом лишь каждый 14-й репорт оказывался существенным. Всего в программе приняло участие 178 специалистов по безопасности.

HackerOne — популярная среди экспертов по компьютерной безопасности со всего мира платформа, благодаря которой специалисты и хакеры могут сообщить компаниям о найденных уязвимостях и получить за это вознаграждение: hackerone.com/vkcom.

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!