Соцсеть “ВКонтакте” выплачивает от $100 и больше всем, кто обнаружил уязвимости в сервисах компании VK.com и в ее официальных мобильных приложениях, следует из объявления на Hackerone.com.

В проекте участвуют сервисы по адресам: *.vk.com, login.vk.com, *.vk.me, *.vk-cdn.net, *.vkmessenger.com, *.vkontakte.ru, *.vk.cc. Кроме того, искать баги можно и в мобильных приложениях на всех платформах — Android, iPhone/iPad, WinPhone.

Соцсеть рекомендует исследователям отправлять ей не только указания на уязвимости, но и советы, как их можно исправить. Компания планирует увеличивать вознаграждение в зависимости от серьезности уязвимости.

Выплаты производятся только через сервис HackerOne первому исследователю, приславшему сведения об уязвимости. Кроме того, “ВКонтакте” предупреждает, что крайне негативно относится к эксплуатации найденной уязвимости против ее пользователей, что означает полный отказ в выплате награды за нее.

На Hackerone.com уже отображаются имена тех, кто принял участие в программе и получил вознаграждение. Судя по всему, первый из исследователей был награжден спустя четыре часа после публикации объявления.

Напомним, что недавно ИБ-исследователь из Казани Камиль Хисматуллин обнаружил серьезную уязвимость в этой соцсети. Лазейка нашлась в “Закладках” — в меню можно было добавлять не только изображения или посты, но и ссылки на какой-либо объект “ВКонтакте”. Добавив в “Закладки” ссылку на изображение, к которому у него не было доступа, Хисматуллин получил превью картинки, а также заголовки скрытых заметок.

При помощи метода fave.getLinksmethod в API “ВКонтакте” он смог получить превью скрытых картинок (75х130 пикселей). Но, проделав то же самое в мобильной версии “ВКонтакте”, Хисматуллин обнаружил, что в коде страницы атрибут src_big позволяет получить ссылку на полную версию изображения.

Программист написал администрации “ВКонтакте” о наличии уязвимости и получил “виртуальное вознаграждение” в 10 тыс. голосов “ВКонтакте”, что эквивалентно 70 тыс. рублей.

Категории: Уязвимости