Сегодня утром один из пользователей «Вконтакте» под ником Лось рассказал об утечке приватных голосовых сообщений из социальной сети. Чтобы прослушать чужие сообщения, нужно зайти по адресу vk.com/docs и ввести в поисковую строку название файла audiocomment.3gp. Как сказал Лось, утечка стала возможна благодаря дыре, которую ВК уже месяц не может залатать.
(По отзывам пользователей, которые успели воспользоваться уязвимостью, в основном там скучный контент, зачастую с ненормативной лексикой.)
Поскольку информация получила широкий резонанс, пресс-слежба «Вконтакте» была вынуждена отреагировать: «Уязвимости „В контакте” нет – все голосовые сообщения в приложении „В контакте” защищены. Никто, кроме самих участников переписки, не сможет получить к ним доступ», — сказал представитель компании в комментарии газете «Ведомости». Он пояснил, что в разделе «Документы» оказались аудиосообщения, которые пользователи загружали в приложение при помощи сторонних сервисов.
Чтобы больше не происходило злоупотреблений, «Вконтакте» пообещала оперативно отключить поиск в документах по файлам audiocomment.3gp. На данный момент поиск через стандартный интерфейс уже недоступен.
Однако пользователи быстро обнаружили, доступ к файлам по-прежнему возможен, если открыть исходный код страницы в браузере.
Говорят, что если точно знать дату и время записи сообщения, то можно найти свою голосовую заметку среди прочих чужих, так что это полезная фича.
Комментарии (12)
romankonstant
02.04.2019 00:05VK Coffee заявили, что используют стандартные методы для голосовых сообщений, те точно такие же
tbl
02.04.2019 00:55+1Да это просто лишний повод для службы PR вк попинать сторонние приложения, даже если они ни в чем не виноваты. Саму дырку только на фронте как смогли прикрыли ширмой, а корень уязвимость, как я понимаю, никто и не собирается фиксить в ближайшее время.
enzain
02.04.2019 09:06Видимо как я в свое время отказался от фб и инстаграма, придется отказываться и от вк…
печальные тенденции, однако
technomancer
02.04.2019 10:39+1Ну во-первых, доступен.
Во-вторых, только что запробовал разные интересные пикантные слова с окончанием «mp4».
Показало немало… всякого. В том числе и личного.
В обед буду удалять все документы из контакта.
technomancer
02.04.2019 10:41+1
KonkovVladimir
02.04.2019 11:05Это интерфейс товарища майора? Вот оно чего оказываться не хватало в телеграмме.
technomancer
02.04.2019 11:17+1Коллеги. Ради эксперимента залил, а потом удалил тестовый файл.
Пожалуйста, проверьте, видит ли кто-нибудь файл agamemnon_10_84_05.txt?
Я не вижу.
Amikko
>> скучный контент, зачастую с ненормативной лексикой
По последней ссылке в этой фразе (со слова «лексикой») контент скорее юмористический)