Сегодня утром один из пользователей «Вконтакте» под ником Лось рассказал об утечке приватных голосовых сообщений из социальной сети. Чтобы прослушать чужие сообщения, нужно зайти по адресу vk.com/docs и ввести в поисковую строку название файла audiocomment.3gp. Как сказал Лось, утечка стала возможна благодаря дыре, которую ВК уже месяц не может залатать.

(По отзывам пользователей, которые успели воспользоваться уязвимостью, в основном там скучный контент, зачастую с ненормативной лексикой.)

Поскольку информация получила широкий резонанс, пресс-слежба «Вконтакте» была вынуждена отреагировать: «Уязвимости „В контакте” нет – все голосовые сообщения в приложении „В контакте” защищены. Никто, кроме самих участников переписки, не сможет получить к ним доступ», — сказал представитель компании в комментарии газете «Ведомости». Он пояснил, что в разделе «Документы» оказались аудиосообщения, которые пользователи загружали в приложение при помощи сторонних сервисов.

Чтобы больше не происходило злоупотреблений, «Вконтакте» пообещала оперативно отключить поиск в документах по файлам audiocomment.3gp. На данный момент поиск через стандартный интерфейс уже недоступен.



Однако пользователи быстро обнаружили, доступ к файлам по-прежнему возможен, если открыть исходный код страницы в браузере.



Говорят, что если точно знать дату и время записи сообщения, то можно найти свою голосовую заметку среди прочих чужих, так что это полезная фича.

Комментарии (12)


  1. Amikko
    01.04.2019 22:05

    >> скучный контент, зачастую с ненормативной лексикой
    По последней ссылке в этой фразе (со слова «лексикой») контент скорее юмористический)


  1. romankonstant
    02.04.2019 00:05

    VK Coffee заявили, что используют стандартные методы для голосовых сообщений, те точно такие же


    1. tbl
      02.04.2019 00:55
      +1

      Да это просто лишний повод для службы PR вк попинать сторонние приложения, даже если они ни в чем не виноваты. Саму дырку только на фронте как смогли прикрыли ширмой, а корень уязвимость, как я понимаю, никто и не собирается фиксить в ближайшее время.


  1. enzain
    02.04.2019 09:06

    Видимо как я в свое время отказался от фб и инстаграма, придется отказываться и от вк…
    печальные тенденции, однако


    1. namikiri
      02.04.2019 12:02

      Давно пора. Всё ещё не понимаю, какого чёрта Mail.Ru занимает лидирующие позиции в рейтингах компаний на Хабре.


      1. enzain
        02.04.2019 13:18

        Если бы в нем не сидела жена, давно б уже…
        Для начала надо придумать куда ее переселить… а это, не так то просто, увы :(


  1. technomancer
    02.04.2019 10:39
    +1

    Ну во-первых, доступен.
    Во-вторых, только что запробовал разные интересные пикантные слова с окончанием «mp4».
    Показало немало… всякого. В том числе и личного.
    В обед буду удалять все документы из контакта.


  1. technomancer
    02.04.2019 10:41
    +1

    Божечки ж ты ж мой! «audiocomment.3gp»? Серьёзно?
    «договор.pdf» не хотите?! (кликабельно)

    P.S. Запросы «протокол» ещё много интересного выдают.
    P.P.S. А уж DCIM можно выкачивать сразу готовыми архивами.


  1. KonkovVladimir
    02.04.2019 11:05

    Это интерфейс товарища майора? Вот оно чего оказываться не хватало в телеграмме.


  1. technomancer
    02.04.2019 11:17
    +1

    Коллеги. Ради эксперимента залил, а потом удалил тестовый файл.
    Пожалуйста, проверьте, видит ли кто-нибудь файл agamemnon_10_84_05.txt?
    Я не вижу.


    1. Miamy
      02.04.2019 12:30

      11:37. Не вижу.


      1. technomancer
        02.04.2019 12:31

        Спасибо. Немного успокоили.