Хакер получит премию за найденные телефоны Дурова и Медведева

август 31, 2016

Хакер нашел в социальной сети "ВКонтакте" ошибку, которая позволила ему узнать номера телефонов Павла Дурова и Дмитрия Медведева. Эта информация появилась в сообществе "Код Дурова".

Соцсеть ВКонтакте офциально перешла на новый дизайн. 17 августа 2016 года.
vk.com

Хакер под ником Алекс Ребл всего лишь хотел найти новый номер телефона девушки, чтобы помириться, а в итоге обнаружил уязвимость, связанную с переходом "ВКонтакте" на новый дизайн. В результате в его распоряжении оказались номера операционного директора "ВКонтакте" Андрея Рогозова и главного разработчика соцсети Олега Илларионова. Вместе с этим он получил телефоны Павла Дурова и Дмитрия Медведева. Но новый телефон девушки Ребл почему-то не нашел.

СМИ пишут, что администрация соцсети подтвердила информацию об ошибке. Сейчас уязвимость закрыта.

Сергей Никитин,
заместитель руководителя Лаборатории по компьютерной криминалистике Group-IB:

На самом деле, это связано с переездом на новый дизайн. Видимо, его аудит и проверка на возможные утечки проводился недостаточно добросовестно. Такое бывает, тут есть несколько аспектов. Первое: в социальной сети люди выкладывают ту информацию, которой они хотят поделиться, и люди фактически сами сообщают о себе множество данных. Естественно, есть определенные настройки приватности, но никто конфиденциальность не гарантирует, потому что здесь нет речи о персональных данных, поскольку люди сами их сообщают, то есть такие стандартные вещи, связанные именно с законом о персональных данных, здесь не совсем применимы. Второй момент заключается в том, что, возможно, будут другие ошибки, возможно, еще какие-то данные можно будет получить, поэтому тут необходимо рассуждать, что если вы оставляете какие-то данные в Интернете, нужно понимать, что они так или иначе могут быть известны третьим лицам, кроме тех случаев, когда применяется именно шифрование и какая-то специальная защита. Обычно об этом оповещают тогда, когда могут быть скомпрометированы именно логины и пароли.

По словам Алекса Ребла, изначально он не рассчитывал на вознаграждение за найденную уязвимость, а лишь хотел привлечь внимание администрации соцсети для исправления ошибки. Однако представители "ВКонтакте" попросили его написать отчет на платформе HackerOne, которую соцсеть использует для выплаты премий за найденные уязвимости, bfm.ru.