«ВКонтакте» не торопится исправлять уязвимость 5-летней давности

[душман]

Администрация социальной сети «ВКонтакте» не стала исправлять серьезную уязвимость в функции импорта звонков, позволяющую получить доступ к номеру телефона любого пользователя. Проблему выявил 18-летний житель Воронежа, программист Сергей Вакулин, после чего уведомил администрацию ресурса о проблеме.

Как сообщил Вакулин, уязвимость до сих пор существует и потенциально может быть проэксплуатирована злоумышленниками. Администрация соцсети отложила разработку соответствующего исправления, поскольку не сочла проблему достойной внимания. По словам программиста, данная уязвимость существует уже сравнительно давно – порядка 5 лет.

«Как оказалось, моей уязвимости уже пять лет, можно сказать, юбилей. На протяжении пяти лет все пользователи, которые используют «ВКонтакте», подвергались этой опасности. В 2013 году был запущен импорт, с 2013 по 2018 год в настройках приватности не было такой опции как „кто может видеть мой номер при импорте“. По умолчанию эта опция находилась в стандартном режиме „все пользователи“. По поему мнению, этой уязвимостью пользовались многие подпольные компании», - отметил Вакулин.

Реакция администрации «ВКонтакте» не удивила программиста. По его словам, множество экспертов по кибербезопасности сталкивались с несправедливостью со стороны руководства соцсети.

«Они предлагали мне оплату, а минимальная оплата составляет 100 долларов, но почитал в интернете отзывы — многим моим коллегам-программистам не выплачивали эту денежную сумму, ссылаясь на то, что это вовсе не уязвимость. То есть дыру заделали, а оплату так и не совершили, в дальнейшем игнорили программистов, и в конечном итоге человек прождал восемь месяцев, и ему так и не выплатили за его уязвимость и за его потраченное время», - добавил Вакулин.

В дальнейшем, программист планирует и далее заниматься исследованием подобных уязвимостей в других социальных сетях.

Комментарий пресс-службы «ВКонтакте». «Сергей так и не смог предоставить доказательства наличия уязвимости. Как мы уже заявляли, названные им способы не являются рабочими — перебором нельзя идентифицировать профиль пользователя.

ВКонтакте ежегодно выплачивает десятки тысяч долларов специалистам по информационной безопасности в рамках программы HackerOne — они сообщают об обнаружении технических уязвимостей в сервисах компании и официальных мобильных приложениях и получают за это вознаграждение.