Специалист обнаружил ошибку, позволяющую находить и скачивать все снимки пользователей.
Казанский программист Камиль Хисматулин обнаружил ошибку в социальной сети «ВКонтакте», позволяющую находить и скачивать все снимки пользователей, в том числе из скрытых альбомов и личных сообщений. За обнаружение ошибки руководство сервиса выплатило эксперту премию в размере 70 тысяч рублей.
Как Хисматулин в своем блоге, злоумышленники могли получать прямые ссылки на личные фотографии пользователей, в том числе и скрытые в частных сообщениях. Программист лично проверил схему кражи изображений, специально для этой цели написав эксплоит, благодаря которому смог получить доступ к идентификаторам снимков, загруженных на определенный промежуток времени. Дальнейшая эксплуатация уязвимости позволила ему получить прямые ссылки на фотографии.
По признанию Хисматулина, для того, чтобы получить снимки, загруженные в течение предыдущего дня, ему понадобилась всего одна минута. Загрузка недельного архива заняла семь минут, а за двадцать специалист смог собрать фотографии, загруженные в течение месяца.
Программист указал на проблему администрации «ВКонтакте», за что получил премию – примерно $700 (70 тыс. рублей) или 10 тыс. голосов VK (внутренняя валюта соцсети).
Казанский программист Камиль Хисматулин обнаружил ошибку в социальной сети «ВКонтакте», позволяющую находить и скачивать все снимки пользователей, в том числе из скрытых альбомов и личных сообщений. За обнаружение ошибки руководство сервиса выплатило эксперту премию в размере 70 тысяч рублей.
Как Хисматулин в своем блоге, злоумышленники могли получать прямые ссылки на личные фотографии пользователей, в том числе и скрытые в частных сообщениях. Программист лично проверил схему кражи изображений, специально для этой цели написав эксплоит, благодаря которому смог получить доступ к идентификаторам снимков, загруженных на определенный промежуток времени. Дальнейшая эксплуатация уязвимости позволила ему получить прямые ссылки на фотографии.
По признанию Хисматулина, для того, чтобы получить снимки, загруженные в течение предыдущего дня, ему понадобилась всего одна минута. Загрузка недельного архива заняла семь минут, а за двадцать специалист смог собрать фотографии, загруженные в течение месяца.
Программист указал на проблему администрации «ВКонтакте», за что получил премию – примерно $700 (70 тыс. рублей) или 10 тыс. голосов VK (внутренняя валюта соцсети).
