Технологии безопасности

Сайт посвященный вопросам безопасности

Как новый телефон помог найти уязвимость Вконтакте


Добрый день!

Хочу поведать вам историю, как однажды я нашел уязвимость вконтакте позволяющую по номеру телефона определить страницу пользователя в данной социальной сети.

Все началось с покупки нового телефона. Купив новый телефон я установил приложение вконтакте для андроид и ввел данные для входа в свой аккаунт. После чего в приложении возможно было осуществить поиск друзей по моей телефонной книге, что я и сделал. Моему удивлению не было предела когда мне предложили добавить найденных друзей. Их было несколько но суть поиска мне стала ясна и я записал несколько неизвестных мне номеров в телефонную книгу и возобновил поиск. Приложение выдало еще несколько страниц пользователей которых я даже не знал.

Будучи законопослушным пользователем я воспользовался платформой hackerone.com что бы сообщить об уязвимости.
После подачи баг репорта через полтора месяца мне пришел ответ.

Сказать что я был удивлен значило не сказать ничего. Ведь дело в том что 2 найденных наугад пользователя у них явно не мог быть записан номер моего телефона. А так же у некоторых моих друзей которых я нашел при первом поиске не установлено на телефоне приложение Вконтакте. На момент когда мне ответили баг уже был пофикшен. После данного инцидента пропало желание как то помогать данной социальной сети.