Добрый день, Хабр!
Хочу поведать вам историю, как однажды я нашел уязвимость вконтакте позволяющую по номеру телефона определить страницу пользователя в данной социальной сети.
Все началось с покупки нового телефона. Купив новый телефон я установил приложение вконтакте для андроид и ввел данные для входа в свой аккаунт. После чего в приложении возможно было осуществить поиск друзей по моей телефонной книге, что я и сделал. Моему удивлению не было предела когда мне предложили добавить найденных друзей. Их было несколько но суть поиска мне стала ясна и я записал несколько неизвестных мне номеров в телефонную книгу и возобновил поиск. Приложение выдало еще несколько страниц пользователей которых я даже не знал.
Будучи законопослушным пользователем я воспользовался платформой hackerone.com что бы сообщить об уязвимости.
После подачи баг репорта через полтора месяца мне пришел ответ.
Сказать что я был удивлен значило не сказать ничего. Ведь дело в том что 2 найденных наугад пользователя у них явно не мог быть записан номер моего телефона. А так же у некоторых моих друзей которых я нашел при первом поиске не установлено на телефоне приложение Вконтакте. На момент когда мне ответили баг уже был пофикшен. После данного инцидента пропало желание как то помогать данной социальной сети.
UPD: 24.05.2016 После публикации получил ответ от службы поддержки.
То есть раскрытие личной информации не считается уязвимостью.
Комментарии (19)
Bo0oM
22.05.2016 16:59+4Подобные «уязвимости» есть и в других соцсетях. Linkedin, facebook, twitter, instagram…
gearbox
22.05.2016 19:48+1Так а уязвимость то в чем? Что Вы смогли сделать чего делать мочь не должны были?
VolCh
22.05.2016 20:02+15Определить личность по номеру телефона
gearbox
23.05.2016 14:47Так, что то я в голове Вас смоделировал, и меня не получается.
Их было несколько но суть поиска мне стала ясна и я записал несколько неизвестных мне номеров в телефонную книгу
То есть на голый телефон вк сам предложил Вам какие то телефоны, а после добавления их — вы узнаете кто они в вк? То есть многократно повторив — можно слить базу? (просто в статье нигде не упомянут момент того что вы подсовываете вк номер телефона а он вам на него сливает пользователя)
andreymal
25.05.2016 08:31Попробую угадать: путём добавления левого мобильника в контакты можно было узнать, к какой учётке этот мобильник привязан. С учётом того, что ВК просит и старается логины прятать — вполне себе решето. А потом баг пофиксили по-тихому и ответили, что его типа никогда и не было, на что автор, собственно, и обиделся.
m_hamlet
22.05.2016 22:13+1В Facebook, например, это вполне нормально. В поиск можно ввести номер телефона и найти пользователя.
krimtsev
22.05.2016 23:30-3Не Вы первый, не Вы последний… до Вас тут руки тоже опускались у некоторых.
Пора уже осознать, что ВК без Павла не торт
monah_tuk
23.05.2016 09:12Объясните, зачем оно вообще нужно? Найти "друга детства", с которым не общались 100500 лет и с которым бы столько же не общались ещё и поностальгировать? Или первую любовь, живущую вторым браком, с детьми и с талией явно большей, чем в момент первой встречи? Вот зачем всё это нужно?
Люди возмущаются (здесь и вообще везде воспринимайте текст с некоторой долей иронии) тотальной слежке, программе ПРИЗМ, всяким СОРМам (естественно после срывов покровов), но при этом добровольно выкладывают сведения о себе вообще мало пойми кому.
PS для чего это нужно владельцам данных сетей я прекрасно понимаю :)
monah_tuk
23.05.2016 09:01Просто не указывайте свои персональные данные во всяких там сетях. И до них, при желании, можно было найти нужных людей, а для общения на форумах, IRC хватало просто ника, что не мешало, в некоторых случаях, даже семьи строить :)
PS К сожалению, всё меньше сервисов, которые не пытаются вымогать, номер телефона.
boris768
25.05.2016 08:32+1На самом деле очень интересная уязвимость в такой ситуации — есть номер телефона, который необходимо «пробить» — добавляете в адресную книгу и узнаете кто это (ну или в несколько более худшем случае — получаете возможность пообщаться с ним или его друзьями). Беда в том, что настройки приватности не спрячут вашу страницу от чужих глаз — имя будет указано. Если не какого-то прямого взлома, то для социнжерии точно полезный хак.
vilgeforce
Подробностей нет: что, как, куда отправлялось и так далее. Но баг, если он был, интересный.