Два дня назад мы вам уже сообщили, что нашему подписчику удалось найти баг «ВКонтакте» и таким образом получить номера телефонов пользователей, прикреплённых к аккаунту.
В частности, Алексей (наш подписчик) смог получить номера телефонов Дмитрия Медведева, Павла Дуроваи главного разработчика ВКонтакте Олега Илларионова.
Мы обратились к операционному директору соцсети Андрею Рогозову, который подтвердил факт дыры в системе сайта.
Вчера хакер дал нашей редакции эксклюзивное интервью. Интервью взял Михаил Верник.
— KD: Как вы смогли обнаружить баг в системе?
— Alexey: Пытался найти во ВКонтакте новый номер телефона девушки, чтобы помириться. Решил добавить её подругу в закладки, чтобы, если что — ей написать. Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность.
— KD: В чем, собственно, она заключалась?
— Alexey: Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON формате: — по сути нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп.
ТОП 10 БАГОВ ВКОНТАКТЕ, КОТОРЫЕ НЕ УСТРАНЯТ
Лично мне нужна была помощь команды ВКонтакте. Я стал привлекать внимание через сообщества, одним из них было КД.
-KD: А как отреагировала администрация ВКонтакте?
— Alexey: Было, если честно, смешно. Их онлайны туда-сюда. Может мне показалось, но они нервничали. Я написал Илларионову, через час мне написал Швец, я объяснил, что к чему. Баг подтвердился.
— KD: А Вы пытались позвонить или написать Дмитрию Медведеву или Павлу Дурову?
— Alexey: Я пытался привлечь внимание Дурова через восстановление пароля (и нужно было убедиться самому, что это баг), надеюсь, он заметил. Прикрепил к сообщению о баге все номера, включая их номера, думаю, разработчиков это удивило)) Они написали сделать репорт на HackerOne, чтобы сделать перевод (хотя я не ради денег это затеял).
-KD: Мы также связались с операционным директором Рогозовым. Он подтвердил, что была дыра в системе. По его словам сейчас она закрыта. Можете это подтвердить?
— Alexey: Сейчас действительно закрыли, но рекомендовал бы им ещё проверять, включая приложения.
-KD: Ранее вы уже обнаруживали баги во ВКонтакте?
— Alexey: Кстати, да, были похожие недоработки с доступом и скрытыми данными. Мне удавалось получать картинки и записи со стен людей, у которых я в чс или которые удалены. Писал давно на HackerOne — обрабатывали месяц, поэтому об этом баге я решил заявить громко и с доказательством (их номерами).
-KD: Другие хакеры как-то отреагировали на взлом?
-Alexey: Я общаюсь с несколькими, но, думаю, они не в курсе. Баг не заметный, думаю, не больше 1 тысячи знали. Больше всего удивило, что администрация не пишет о баге пользователям, чтобы они поменяли данные.
— KD: Да, это правда странно. Обычно администрация сети сразу сообщает об этом в «Лайв». Может, есть предположения, почему они этого не делают?
— Alexey: Думаю, они не уверены, что таких багов больше нет, или работы ведутся уже по их исправлению. Или воскресение — выходной.Как получить баунти от ВКонтакте?За первый год участия в программе HackerOne было выплачено 167 вознаграждений на общую сумму $70850, при этом лишь каждый 14-й репорт оказывался существенным. Всего в программе приняло участие 178 специалистов по безопасности. HackerOne — популярная среди экспертов по компьютерной безопасности со всего мира платформа, благодаря которой специалисты и хакеры могут сообщить компаниям о найденных уязвимостях и получить за это вознаграждение: hackerone.com/vkcom.
Как всегда в конце ссылки на наши паблики:
Контент публикуется разный — мы стараемся учитывать специфику подписчиков каждой сети.
Источник: spark.ru
Баг «ВКонтакте»: все публикуют одну и ту же запись
Рекомендуем почитать:
Xakep #288. Неправильные эльфы
- Содержание выпуска
- Подписка на «Хакер» -60%
Сегодня вечером (14 февраля 2019 года) по социальной сети подобно червю стало массово распространяться сообщение с «новостью» о том, что во «ВКонтакте» появится реклама в личных сообщениях. Переход по ссылке из такого сообщения приводил к распространению новых записей.
В настоящее время администрация «ВКонтакте» сообщает, что ситуация взята под контроль, а пострадавшие аккаунты не были взломаны, и пароли их администраторов в безопасности. В пресс-службе социальной сети сообщили, что инцидент произошел из-за уязвимости, позволявшей выполнить произвольный код JavaScript, и сейчас баг спешно исправляют (похоже, речь об XSS-баге). Также администрация напомнила, что люди, нашедшие уязвимость, могли бы заработать деньги с помощью bug bounty программы HackerOne.
Судя по всему, волна публикаций берет начало из сообщества «Багосы» (теперь заблокированного), где своеобразный анонс уязвимости появился заранее. Сейчас представители сообщества утверждают, что нашли эту уязвимость еще в прошлом году. «Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год», — гласит сообщение. Так как багхантерам, по их словам, не выплатили вознаграждение за баг, было решено использовать проблему, не нанося вреда пользователям.
UPD.
В пресс-службе «ВКонтакте» уточняют:
«Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.
Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем.
Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас».
Источник: xakep.ru
Секреты и баги ВКонтакте. Топ-10
. Как посмотреть когда человек последний раз был онлайн, если он очень давно не заходил?
Если сверху не написана дата, тогда заходим на страницу пользователя, и нажимаем “Написать сообщение” и там будет указана дата.
. Добавление всем пользователям кнопки посредством API в Чате группы.
Была обнаружена уязвимость или фича, которая позволяет сообществам, приглашённым в беседу, добавлять всем пользователям кнопки посредством API.
Если это протестировать, то действительно появляется кнопка, убрать после чего её не выйдет, потому что её может убрать тот, кто её создал.
. Как посмотреть имя удалённого пользователя?
Мне честно признаться, было такое интересно, не так давно. А потому, может кому-то пригодится.
Достаточно просто скопировать его url, либо нажать на кнопку с тремя точками и нажать “Блокировать пользователя”. Ну и далее выведется имя пользователя, которого Вы хотите добавить в чёрный список.
Создание похожих анкет под названием “Аноним”.
В социальной сети ВКонтакте есть некая странность-баг, под этим я подразумеваю анкету, а точнее анкеты созданные под названием “Аноним” и похожие друг на друга. Различаются такие анкеты разве что уникальным номером id, этот номер id везде разный, но при этом анкеты одна на другую идентично похожи.
“Необычная картинка”.
Следующая интересная “фича-баг”, это “Необычная картинка”. Суть в том, что при размещении данной картинки на своей странице, Ваша страница будет заблокирована, либо фото будет просто удалено. Вы можете попробовать это на свой страх и риск, однако лучше это делать/проверять на ненужной Вам странице.
Итак, размещаем картинку на стене. Нажимаем “Отправить”. Картинка есть, перезагружаем страницу и как видим картинка исчезла, а пост остался, и он пустой. Также среди фотографий Вы эту картинку не найдёте. Кстати, через личное сообщение происходит тоже самое, и фотки нету даже в личных сообщениях и в прикреплённых файлах.
Короче говоря, некая магия от ВКонтакте, и очевидно ощущение, что твои сообщения кто-то просматривает..
Блокировки ВКонтакте, с помощью подмены изображения.
Есть такая тема.. Например, кто-то сделал репост записи из паблика где изображена простая картинка. Мы делаем репост уже записи со стены этого человека. Но тут на нашей стене нас может ожидать некий баг, и мы обнаружим что мы репостнули вообще другой пост из паблика.
И будет вообще видео и ссылка над ним с надписью vto.pe и это именно та ссылка, за которую ВКонтакте может Вас заблокировать/забанить. И после перезагрузки страницы моментально Вы можете заметить, что “Страница временно заблокирована” за размещение этого поста, по сути блокировка происходит именно из-за ссылки, а не из-за видео.
Можете попробовать сделать репост первой записи, с этой страницы и проверить таким образом, что репост вышел совсем иной записи (Но имейте ввиду, что Вашу анкету заблокируют).
Где и с кем публично общается пользователь
Если ты знаешь номер ID анкеты, то можно проследить за некоторыми активностями и интересами ее владельца. Так, есть баг в ВКонтакте, позволяющий видеть, с кем и где общается пользователь. Чтобы воспользоваться этой возможностью, используй ссылку. Только вместо цифр укажи ID целевого пользователя.
Дубли анкет с именем «аноним»
В ВКонтакте была замечена некоторая странность, о которой стоит рассказать. В структуре пользователей есть большое количество аналогичных профилей с названием «Аноним». Внешне они совершенно не различаются между собой. Единственное отличие — это номер ID. Вот ссылки на пару таких страниц:
Выглядят они следующим образом:
У многих пользователей возникает вопрос, кому и зачем понадобились одинаковые профили. Особенно настораживает тот факт, что на всех страницах совпадает даже дата последней активности. Самое простое объяснение — это аккаунты для искусственной накрутки показателей пользовательской активности.
Запрещенная картинка
Следующая интересная и необъяснимая особенность социальной сети ВКонтакте — последствия публикации запрещенного визуального контента. Если опубликовать нарушающее правила сообщение и картинку, алгоритмы социальной сети очень оперативно заблокируют аккаунт.
Важное замечание. Аналогичный сценарий срабатывает, даже если контент пересылается в личных сообщениях. После подобных экспериментов может сложиться стойкое убеждение в том, что приватная переписка не такая уж и приватная. В общем, эта фича не только забавная, но и несколько пугающая.
Когда пользователь был онлайн
Через некоторое время на странице анкеты прекращается демонстрация точной даты последнего визита. Узнать ее очень просто. Достаточно перейти в личные сообщения с пользователем, так как там всегда отображается эта информация.
А какие интересные секреты ВК знаешь ты? Обязательно расскажи в комментариях.
Когда пользователь зарегистрировался
Интересно, какой возраст у стороннего аккаунта? Удовлетворить любопытство поможет этот сервис.
Скопируй в поле ссылку на аккаунт, и он сразу покажет дату регистрации.
Мониторинг отредактированных сообщений
Существует интересный баг на сообщения в ВК. Он заключается в возможности просматривать первоначальную версию элементов переписки, даже если они были отредактированы. Рассмотрим фичу на примере.
Отправим несколько личных сообщений произвольного содержания.
Теперь изменяем одно из них.
Появилось соответствующее уведомление о редактировании — полупрозрачная отметка (ред.). Теперь нужно воспользоваться инструментом поиска в беседе. В его окно необходимо ввести первоначальную версию отредактированного сообщения.
После поиска алгоритм покажет измененное сообщение, которое фактически не соответствует поисковому запросу. Этот баг связан с проблемами синхронизации разных баз данных. Сама фишка не несет угрозы анонимности и безопасности пользователей, так как воспользоваться ей может только тот человек, который знал изначальный вариант сообщения. А значит, это можно считать занятным фокусом, который точно удивит друзей.
Подарки самому себе
Знаешь, как сделать подарок в собственный профиль ВКонтакте? Следующий баг поможет наградить себя по заслугам. Сразу отметим, что в десктопной версии выполнить этот трюк невозможно. Поэтому сначала нужно перейти в мобильный интерфейс. Теперь следует действовать по следующему алгоритму:
- переходи на произвольную страницу стороннего аккаунта;
- кликай по кнопке «Отправить подарок»;
- на странице с вариантами подарков обрати внимание на адресную строку;
- измени ID получателя (после слова gifts) на собственный номер;
- выбирай вариант презент и отправляй себе.
Приложение moosic и бесплатная музыка в вконтакте
Для миллионов людей главная ценность профиля ВК заключается даже не в списке друзей и подписок на паблики. Да-да, мы говорим о плейлисте. Сложно говорить о степени разочарования пользователей, когда после очередного обновления прослушивание музыки стало платным удовольствием.
Удаление лайков из закрытых групп
Изменения в законодательства не радуют активных пользователей ВКонтакте. Если еще несколько лет назад можно было не задумываться и расставлять лайки под любым контентом, то сегодня за отдельные факты необдуманной пользовательской активности можно понести ответственность.
Что может пойти не так? Дело в том, что многие группы не отличаются долголетием. Может оказаться, что паблик, который ты одарил «сердечком», уже удален или закрыт владельцами. В такой ситуации в обычной десктопной версии социальной сети удалить лайк не получится, так как будет появляться ошибка.
Решить эту проблему поможет официальное приложение ВКонтакте для операционной системы Android. При повторном клике по «сердечку», судя по всему, создается служебная ссылка на контент, по которой факт пользовательской активности можно отменить.
Источник: tvoyvk.ru