Пользователь «Хабрахабра» нашел деанонимизирующую уязвимость во «ВКонтакте»

Пользователь, представляющийся Алексеем Злодеевым, рассказал на «Хабрахабре» о том, как в сообществах во «ВКонтакте» узнать, кто является автором предложенной новости, а кто из пользователей публикует записи в качестве администратора.

Он использовал метод newsfeed.getComments, с помощью которого оказалось возможным смотреть, кто выступает в качестве модератора поста, кто предлагает его, а также комментаторов записи. Единственное условие — открытые комментарии.

Пресс-секретарь «ВКонтакте» Евгений Красников сообщил, что страницу Злодеева заморозили за публичное эксплуатирование уязвимости, а баг устранили после того, как один из администраторов сообщества сообщил администрации соцсети о своем «разоблачении».

TJournal связался со Злодеевым и узнал, что не знал, что о найденных уязвимостях следует сообщать — за подобные находки программа Hacker One, в которой участвует и «ВКонтакте», выплачивает вознаграждения. По словам Злодеева, он просто не смог оформить заявку из-за недостаточного знания английского языка.