Личная переписка пользователей «ВКонтакте» стала доступна клиентам сервиса веб-аналитики SimilarWeb. Платформа, созданная в 2007 году, предоставляет услуги по глубокому анализу данных и построению поведенческих моделей посетителей интернет-ресурсов и мобильных приложений.

Эксперт под ником Yoga2016 сообщил, что платные подписчики сервиса могут видеть ссылки на 300 наиболее популярных материалов выбранного сайта. Однако в случае с российской социальной сетью исследователь получил доступ к трем сотням личных переписок разных людей.

Скомпрометированные сообщения содержат конфиденциальные данные, в том числе логины и пароли для доступа к другим сайтам, а также личные фотографии. Прямые ссылки в подборке от SimilarWeb содержат также ID пользователя «ВКонтакте». На первый взгляд кажется, что в нее попали случайные люди. При этом причиной включения в список совершенно точно не является популярность владельца аккаунта — некоторые из пострадавших имеют всего несколько десятков друзей.

Yoga2016 открыл тикет на сайте HackerOne — ресурсе, на котором компании предлагают материальное вознаграждение хакерам, обнаружившим уязвимости в их продуктах, однако его заявка не была удовлетворена. Как пояснили в пресс-службе VK, проблема не является ошибкой — личные сообщения могут быть доступны сторонним разработчикам через API социальной сети. С согласия владельца к ним обращаются, например, альтернативные мессенджеры.

Представители «ВКонтакте» подчеркнули, что, по их данным, скомпрометированными оказались всего около 400 аккаунтов. Во всех случаях их владельцы самостоятельно разрешили небезопасному приложению получать доступ к своей переписке. В социальной сети не уточнили, о какой именно программе идет речь.

Чуть позже пресс-служба VK пояснила, что все пострадавшие пользовались сторонними VPN-сервисами, которые и стали источником утечки. В данный момент проблемные токены заблокированы.

SimilarWeb пока никак не отреагировала на сообщения о некорректной работе сервиса. Непонятно, имеет ли компания прямой доступ к API «ВКонтакте» или же приобретает данные у сторонних агрегаторов.

Категории: Уязвимости