Программист из Казани получил от «ВКонтакте» 70 тыс. рублей за предотвращение кражи личных фото

reagent

Опытный
Ветеран пробива
Регистрация
4/11/14
Сообщения
1.973
Репутация
5.495
Реакции
7.168
RUB
0
Специалист обнаружил ошибку, позволяющую находить и скачивать все снимки пользователей.

Казанский программист Камиль Хисматулин обнаружил ошибку в социальной сети «ВКонтакте», позволяющую находить и скачивать все снимки пользователей, в том числе из скрытых альбомов и личных сообщений. За обнаружение ошибки руководство сервиса выплатило эксперту премию в размере 70 тысяч рублей.

Как Хисматулин в своем блоге, злоумышленники могли получать прямые ссылки на личные фотографии пользователей, в том числе и скрытые в частных сообщениях. Программист лично проверил схему кражи изображений, специально для этой цели написав эксплоит, благодаря которому смог получить доступ к идентификаторам снимков, загруженных на определенный промежуток времени. Дальнейшая эксплуатация уязвимости позволила ему получить прямые ссылки на фотографии.

По признанию Хисматулина, для того, чтобы получить снимки, загруженные в течение предыдущего дня, ему понадобилась всего одна минута. Загрузка недельного архива заняла семь минут, а за двадцать специалист смог собрать фотографии, загруженные в течение месяца.

Программист указал на проблему администрации «ВКонтакте», за что получил премию – примерно $700 (70 тыс. рублей) или 10 тыс. голосов VK (внутренняя валюта соцсети).
 
Сверху Снизу