Хакер из Казани нашел "ВКонтакте" баг, позволяющий скачивать личные фото из переписки
В социальной сети "ВКонтакте" хакер из Казани нашел баг, позволяющий получать прямые ссылки на изображения, отправленные в личных сообщениях, а также хранящиеся в личных и групповых фотоальбомах. Обнаружил ошибку программист Камиль Хисматуллин, написавший о ней в своем блоге.
- Я создал эксплойт, который bruteforce-методом получает идентификаторы фотографий, загруженных в определенный период, а затем с помощью этой уязвимости получил возможность узнать прямые ссылки на изображения", - написал Хисматуллин.
Он также подчеркнул, что раздобыть прямую ссылку можно для любого хранящегося изображения, независимо от настроек конфиденциальности.
По словам Камиля Хисматуллина, для того чтобы получить ссылки на все загруженные в течение последнего года фотографии, требуется около двух часов работы. Программист отметил, что администрация "ВКонтакте" уже знает о наличии уязвимости. За найденный баг Камилю выплатили 10 тысяч голосов "ВКонтакте", что примерно равно 70 тысячам руб.
Напомним, что ранее Камиль обнаружил в видеохостинге YouTube ошибку, которая позволяет удалить любой загруженный на сайт ролик. Портал ProKazan.ru взял интервью у Камиля и узнал, могут ли обычные казанцы защитить свои страницы от взлома и почему хакеры атакуют чужие сайты.
