Найденная во «ВКонтакте» уязвимость позволяет читать чужую переписку

На уровне программного кода веб-версии «ВКонтакте» имеется слабое место, которое можно использовать для чтения закрытой личной переписки пользователей. Программист под псевдонимом Yoga2016 сумел неожиданно получить доступ к нескольким сотням сообщений, обрабатывая статистику с применением API социальной сети.

Как оказалось, разработчик работал с использованием платной версии сервиса SimilarWeb. Это аналитический ресурс, обрабатывающий информацию о сайтах и соцсетях по многим показателям, в том числе и по предпочтениям пользователей социальных сетей.

В защиту своей браузерной версии выступила администрация «ВКонтакте». Последовало заявление представителей популярного ресурса, в котором утверждается, что проблемы, как таковой, не существует. Она создана как раз разработчиками, работающими с API соцсети. Как утверждают посвященные в ситуацию источники, брешь все же была устранена.

Также «ВКонтакте» отказалась выплачивать премию в рамках проекта Bug Bounty за обнаружение такой уязвимости.