По словам разработчика, платная версия SimilarWeb позволяет пользователям посмотреть 300 самых популярных материалов конкретного сайта. Воспользовавшись этим сервисом для анализа сайта "ВКонтакте", Yoga2016 неожиданно получил ссылки на личную переписку в соцсети 300 случайных людей и смог выгрузить несколько историй, пишет TJ.
После обнаружения возможности читать чужие сообщения разработчик подал заявку в программу "ВКонтакте", позволяющую пользователям получать вознаграждение за найденные уязвимости. Однако, по словам Yoga2016, его сообщение оставили без внимания, а обсуждение этой уязвимости было удалено.
Комментируя эту ситуацию, в пресс-службе "ВКонтакте" заявили, что уязвимость не имеет отношения к соцсети и возникла по вине разработчиков, которые имеют доступ к API. Например, они могут использовать личную переписку в собственных клиентах для мессенджера "ВКонтакте", но только с разрешения пользователей.
"Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным", - рассказали представители "ВКонтакте".
В компании также уточнили, что в настоящий момент специалисты ведут расследование, а упомянутые токены были заблокированы.
Позднее в соцсети уточнили, что проблема связана с работой "ненадежных VPN-сервисов". По словам представителей "ВКонтакте", такие сервисы передают информацию пользователей третьим лицам, включая сервисы аналитики вроде SimilarWeb. При этом в компании еще раз подчеркнули, что в Сеть попали сообщения только 400 пользователей, которые открыли доступ к своим данным VPN-сервисам.