Хакер, скрывающийся под ником Алекс Ребл, обнаружил, что через закладки в социальной сети "ВКонтакте" можно получить привязанные к учетной записи пользователя номер телефона и адрес электронной почты. Воспользовавшись этой ошибкой, он смог получить телефоны, указанные в аккаунтах основателя и бывшего гендиректора соцсети Павла Дурова, а также премьер-министра Дмитрия Медведева, пишет TJ.

Информация о существовании в новом дизайне социальной сети ошибки, обнаруженной Реблом, была опубликована 28 августа в сообществе "Код Дурова". В публикации отмечалось, что один из участников группы сумел получить номера телефонов Павла Дурова, операционного директора "ВКонтакте" Андрея Рогозова и главного разработчика соцсети Олега Илларионова.

29 августа в сообществе появилось интервью с хакером, который рассказал, что изначально не собирался получать телефонные номера Дурова, Рогозова, Илларионова, а также премьер-министра РФ Дмитрия Медведева, а всего лишь хотел найти новый номер телефона девушки, чтобы помириться.

"Решил добавить ее подругу в закладки, чтобы если что - ей написать. Еще со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность.

Сервер отдает больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON-формате: {"name":"имя", "lastname":"фамилия", "reg_phone":"номер в закрытом доступе", "email":"Эл. адрес в закрытом доступе."} - по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова - я не поверил. Затем получил номер Дмитрия Медведева - тут я понял, что это конкретный ляп", - рассказал хакер.

Как сообщил TJ администратор сообщества "Код Дурова" Михаил Верник, он связался с Рогозовым и тот подтвердил существование описанной ошибки, однако заявил, что публично о ней рассказывать в ближайшее время не будут. По словам Верника, обнаруженные Реблом телефоны были реальными, проверять не стали только номер Медведева (вероятно, он принадлежит сотруднику его пресс-службы), однако его почта была привязана к адресу на домене .gov.

По словам Ребла, изначально он не рассчитывал на вознаграждение за найденную уязвимость, а лишь решил привлечь внимание администрации соцсети для исправления ошибки. Однако представители "ВКонтакте" попросили его написать отчет на платформе HackerOne, которую соцсеть использует для выплаты премий за найденные уязвимости. Однако, судя по записи Ребла, опубликованной вечером 29 августа, денег он пока не получил. Кроме того, ему не удалось получить искомый телефон девушки.

По мнению Ребла, об ошибке мог знать значительный круг людей - до тысячи человек. Хакера удивил тот факт, что администрация соцсети не предупредила пользователей об уязвимости и не попросила поменять личные данные.

Позднее информацию об уязвимости прокомментировали в пресс-службе "ВКонтакте". По словам представителя соцсети Евгения Красникова, баг, который позволял узнать номер телефона, привязанный к странице, был исправлен сразу после того, как разработчикам стало о нем известно. При этом Красников подчеркнул, что уязвимость не представляла опасности для безопасности аккаунтов пользователей.

В свою очередь, в пресс-службе правительства РФ отметили, что номер телефона, привязанный к аккаунту Дмитрия Медведева, является техническим, принадлежит сотрудникам пресс-службы и не имеет отношения к премьер-министру.