Хакер с ником Алекс Ребл обнаружил, что через закладки в социальной сети «ВКонтакте» можно получить привязанные к учетной записи пользователя номер телефона и адрес электронной почты. Воспользовавшись этой ошибкой, он смог получить телефоны, указанные в аккаунтах основателя и бывшего гендиректора соцсети Павла Дурова, а также премьер-министра Дмитрия Медведева. Об этом сообщается в группе «Код Дурова» во «ВКонтакте».

Информация о существовании в новом дизайне «ВКонтакте» ошибки, обнаруженной Реблом, была опубликована 28 августа. Отмечается, что один из участников группы сумел получить номера телефонов Павла Дурова, операционного директора «ВКонтакте» Андрея Рогозова и главного разработчика соцсети Олега Илларионова.

29 августа в сообществе появилось интервью с хакером, который рассказал, что изначально не собирался получать телефонные номера Дурова, Рогозова, Илларионова, а также премьер-министра России Дмитрия Медведева, а всего лишь хотел найти новый номер телефона девушки, чтобы помириться.

«Решил добавить ее подругу в закладки, чтобы если что — ей написать. Еще со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность.

Сервер отдает больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON-формате: {«name»:»имя», «lastname»:»фамилия», «reg_phone»:»номер в закрытом доступе», «email»:»Эл. адрес в закрытом доступе.»} — по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп», – рассказал хакер.

По словам Ребла, изначально он не рассчитывал на вознаграждение за найденную уязвимость, а лишь решил привлечь внимание администрации соцсети для исправления ошибки. Однако представители «ВКонтакте» попросили его написать отчет на платформе HackerOne, которую соцсеть использует для выплаты премий за найденные уязвимости. Однако, судя по записи Ребла, опубликованной вечером 29 августа, денег он пока не получил.

По мнению хакера, об ошибке мог знать значительный круг людей – до тысячи человек. Его удивил тот факт, что администрация соцсети не предупредила пользователей об уязвимости и не попросила поменять личные данные.