01.04.2019 17:35
alizar 12 2100 Источник


Сегодня утром один из пользователей «Вконтакте» под ником Лось рассказал об утечке приватных голосовых сообщений из социальной сети. Чтобы прослушать чужие сообщения, нужно зайти по адресу vk.com/docs и ввести в поисковую строку название файла audiocomment.3gp. Как сказал Лось, утечка стала возможна благодаря дыре, которую ВК уже месяц не может залатать.

(По отзывам пользователей, которые успели воспользоваться уязвимостью, в основном там скучный контент, зачастую с ненормативной лексикой.)

Поскольку информация получила широкий резонанс, пресс-слежба «Вконтакте» была вынуждена отреагировать: «Уязвимости „В контакте” нет – все голосовые сообщения в приложении „В контакте” защищены. Никто, кроме самих участников переписки, не сможет получить к ним доступ», — сказал представитель компании в комментарии газете «Ведомости». Он пояснил, что в разделе «Документы» оказались аудиосообщения, которые пользователи загружали в приложение при помощи сторонних сервисов.

Чтобы больше не происходило злоупотреблений, «Вконтакте» пообещала оперативно отключить поиск в документах по файлам audiocomment.3gp. На данный момент поиск через стандартный интерфейс уже недоступен.



Однако пользователи быстро обнаружили, доступ к файлам по-прежнему возможен, если открыть исходный код страницы в браузере.



Говорят, что если точно знать дату и время записи сообщения, то можно найти свою голосовую заметку среди прочих чужих, так что это полезная фича.

Комментарии (12)


  1. Amikko
    01.04.2019 22:05
    #19971310

    >> скучный контент, зачастую с ненормативной лексикой
    По последней ссылке в этой фразе (со слова «лексикой») контент скорее юмористический)


  1. romankonstant
    02.04.2019 00:05
    #19971596

    VK Coffee заявили, что используют стандартные методы для голосовых сообщений, те точно такие же


    1. tbl
      02.04.2019 00:55
      #19971718
      +1

      Да это просто лишний повод для службы PR вк попинать сторонние приложения, даже если они ни в чем не виноваты. Саму дырку только на фронте как смогли прикрыли ширмой, а корень уязвимость, как я понимаю, никто и не собирается фиксить в ближайшее время.


  1. enzain
    02.04.2019 09:06
    #19972282

    Видимо как я в свое время отказался от фб и инстаграма, придется отказываться и от вк…
    печальные тенденции, однако


    1. namikiri
      02.04.2019 12:02
      #19973184

      Давно пора. Всё ещё не понимаю, какого чёрта Mail.Ru занимает лидирующие позиции в рейтингах компаний на Хабре.


      1. enzain
        02.04.2019 13:18
        #19973748

        Если бы в нем не сидела жена, давно б уже…
        Для начала надо придумать куда ее переселить… а это, не так то просто, увы :(


  1. technomancer
    02.04.2019 10:39
    #19972684
    +1

    Ну во-первых, доступен.
    Во-вторых, только что запробовал разные интересные пикантные слова с окончанием «mp4».
    Показало немало… всякого. В том числе и личного.
    В обед буду удалять все документы из контакта.


  1. technomancer
    02.04.2019 10:41
    #19972698
    +1

    Божечки ж ты ж мой! «audiocomment.3gp»? Серьёзно?
    «договор.pdf» не хотите?! (кликабельно)

    P.S. Запросы «протокол» ещё много интересного выдают.
    P.P.S. А уж DCIM можно выкачивать сразу готовыми архивами.


  1. KonkovVladimir
    02.04.2019 11:05
    #19972828

    Это интерфейс товарища майора? Вот оно чего оказываться не хватало в телеграмме.


  1. technomancer
    02.04.2019 11:17
    #19972892
    +1

    Коллеги. Ради эксперимента залил, а потом удалил тестовый файл.
    Пожалуйста, проверьте, видит ли кто-нибудь файл agamemnon_10_84_05.txt?
    Я не вижу.


    1. Miamy
      02.04.2019 12:30
      #19973394

      11:37. Не вижу.


      1. technomancer
        02.04.2019 12:31
        #19973404

        Спасибо. Немного успокоили.