Соцсеть «ВКонтакте» выплачивает от $100 и больше всем, кто обнаружил уязвимости в сервисах компании VK.com и в ее официальных мобильных приложениях, следует из объявления на Hackerone.com.

В проекте участвуют сервисы по адресам: *.vk.com, login.vk.com, *.vk.me, *.vk-cdn.net, *.vkmessenger.com, *.vkontakte.ru, *.vk.cc. Кроме того, искать баги можно и в мобильных приложениях на всех платформах — Android, iPhone/iPad, WinPhone.

Соцсеть рекомендует исследователям отправлять ей не только указания на уязвимости, но и советы, как их можно исправить. Компания планирует увеличивать вознаграждение в зависимости от серьезности уязвимости.

Выплаты производятся только через сервис HackerOne первому исследователю, приславшему сведения об уязвимости. Кроме того, «ВКонтакте» предупреждает, что крайне негативно относится к эксплуатации найденной уязвимости против ее пользователей, что означает полный отказ в выплате награды за нее.

На Hackerone.com уже отображаются имена тех, кто принял участие в программе и получил вознаграждение. Судя по всему, первый из исследователей был награжден спустя четыре часа после публикации объявления.

Напомним, что недавно ИБ-исследователь из Казани Камиль Хисматуллин обнаружил серьезную уязвимость в этой соцсети. Лазейка нашлась в «Закладках» — в меню можно было добавлять не только изображения или посты, но и ссылки на какой-либо объект «ВКонтакте». Добавив в «Закладки» ссылку на изображение, к которому у него не было доступа, Хисматуллин получил превью картинки, а также заголовки скрытых заметок.

При помощи метода fave.getLinksmethod в API «ВКонтакте» он смог получить превью скрытых картинок (75х130 пикселей). Но, проделав то же самое в мобильной версии «ВКонтакте», Хисматуллин обнаружил, что в коде страницы атрибут src_big позволяет получить ссылку на полную версию изображения.

Программист написал администрации «ВКонтакте» о наличии уязвимости и получил «виртуальное вознаграждение» в 10 тыс. голосов «ВКонтакте», что эквивалентно 70 тыс. рублей.

Категории: Уязвимости