Вечером 6 марта появилась информация, что в открытый доступ попали сообщения 400 пользователей «ВКонтакте». В социальной сети оперативно сообщили, что вероятнее всего виной послужило использование альтернативных клиентов для мессенджера.
Анонимный CEO-разработчик Yoga2016 рассказал изданию TJ об уязвимости во «ВКонтакте», которая позволяет читать личные сообщения через сервис статистики SimilarWeb. Так же Yoga2016 подал заявку в Bounty-программу от «ВКонтакте», где пользователи могут сообщать об уязвимости соцсети и получать за это деньги. Однако, на его сообщение не отреагировали, а обсуждением недочёта удалили.
Разработчик Yoga2016 предполагает, что обнаружил "лазейку", которую социальная сеть использует, чтобы открывать доступ к переписке пользователей правоохранительным органам и спецслужбам. Кстати, недавно блокировку с "ВКонтакте" сняли китайские интернет-цензоры. Как правило, это означает, что администрация ранее блокировавшегося сервиса предоставила спецслужбам страны инструменты для контроля переписки пользователей и/или блокировки "нежелательной" информации.
SimilarWeb — сервис по получению статистики сайтов и соцсетей из поисковиков, который собирает данные о трафике, самых просматриваемых материалах, популярности в определённых странах.
Как отметил Yoga2016, платная версия SimilarWeb позволяет посмотреть 300 самых популярных материалов любого сайта для анализа посещаемости. Он использовал сервис в случае со «ВКонтакте», но получил ссылки на личные сообщения 300 случайных пользователей.
После предания истории оглазки, специалисты «ВКонтакте» провели более подробный анализ произошедшего и обнаружили, что речь идёт об использовании небезопасных VPN-сервисов, которые передают данные третьим лицам — например, сторонним сервисам аналитики.
Представители «ВКонтакте» подчеркнули, что клиенты сервиса веб-аналитики SimilarWeb получили данные лишь 400 пользователей социальной сети, которые могли передать ненадёжным VPN-сервисам доступ к своим личным данным. В свою очередь, не все сервисы аналитики фильтруют передаваемую им информацию, таким образом, в том числе персональные данные, могут оказаться общедоступны.
В процессе проверки сотрудники «ВКонтакте» изучили данные о сетевых запросах пользователей, доступные на SimilarWeb. Среди них обнаружились, например, ключи доступа к API ботов в Telegram (используя такой ключ, можно отправить любое сообщение от имени чужого бота), история поисковых запросов с сайтов американского ФБР и российского правительства, а также названия не анонсированных проектов с закрытого корпоративного ресурса крупной игровой компании, которую представители социальной сети предпочли не называть.
Представители «ВКонтакте» уверяют, что уязвимость не связана с проблемой соцсети, а создана разработчиками, которые имеют доступ к API. К примеру, они могут использовать личную переписку в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.
Сергей Кубасов, директор по технологиям «ВКонтакте»:
«Если пользователь разрешает ненадёжным VPN-приложениям или прокси-сервисам доступ к трафику на своём устройстве, то создавшие такой сервис разработчики могут получить и передать третьим лицам персональные данные — включая историю посещений, личные сообщения, информацию об аккаунтах в разных сервисах, данные банковских карт. Это похоже на ситуацию, когда мошенник стоит за спиной и видит всё, что вы делаете, своими глазами».
Представители социальной сети настоятельно рекомендуют не использовать VPN-сервисы от непроверенных разработчиков, а также использовать последнюю версию официального приложения «ВКонтакте», в котором встроена защита от перехвата https-трафика.
