Совсем недавно команда социальной сети ВКонтакте принудительно перевела всех пользователей на новый дизайн, который тестировался на «живых пользователях» с 1 апреля 2016 года. Как оказалось, редизайн ВКонтакте содержал уязвимость, позволяющую без излишних усилий узнать телефон и адрес электронной почты, привязанные к аккаунту пользователя.
Открытие сделал пользователь под ником Алекс Ребл, поделившийся своей находкой с сообществом «Код Дурова» во ВКонтакте. При добавлении пользователя в закладки сервер отдавал не только стандартные данные, но и номера телефонов и почту. Информацию можно было увидеть в исходном коде. Забавно, но по легенде на такие подвиги Алекс пошел, пытаясь отыскать новый телефон своей девушки, чтобы помириться с ней, но так и не нашел его. Зато нашел телефоны Дурова, Медведева и подруг девушки.
Как рассказали журналистам представители социальной сети, уязвимость уже устранена. Причем ее не считали опасной, поскольку с помощью данных, полученных таким образом, нельзя было получить доступ к чужому аккаунту. Судя по всему, вознаграждения за найденный баг хакер не получит, по словам команды ВКонтакте, они никогда не выплачивают вознаграждение, если уязвимость эксплуатировалась нашедшим.
Источник: