ИНТЕРЕСНО «ВКонтакте» не торопится исправлять уязвимость 5-летней давности

Тема в разделе "Новости из СМИ", создана пользователем Apollon, 18 май 2018.

  1. TopicStarter Overlay
    Apollon

    Apollon Модератор . . . .

    На BDF с:
    07.09.17
    Сообщения:
    5.802
    Симпатии:
    774
    Баллы:
    664
    Пол:
    Мужской
    Репутация:
    1.535
    ГАРАНТ (покупки):
    3
    ДЕПОЗИТ:
    17500
    BDFCOIN:
    64.35
    [ Ссылки могут видеть только зарегистрированные пользователи. Зарегистрироваться или Войти ]  

    Администрация социальной сети «ВКонтакте» не стала исправлять серьезную уязвимость в функции импорта звонков, позволяющую получить доступ к номеру телефона любого пользователя. Проблему выявил 18-летний житель Воронежа, программист Сергей Вакулин, после чего уведомил администрацию ресурса о проблеме.

    Как сообщил Вакулин в интервью «5 каналу», уязвимость до сих пор существует и потенциально может быть проэксплуатирована злоумышленниками. Администрация соцсети отложила разработку соответствующего исправления, поскольку не сочла проблему достойной внимания. По словам программиста, данная уязвимость существует уже сравнительно давно – порядка 5 лет.

    «Как оказалось, моей уязвимости уже пять лет, можно сказать, юбилей. На протяжении пяти лет все пользователи, которые используют «ВКонтакте», подвергались этой опасности. В 2013 году был запущен импорт, с 2013 по 2018 год в настройках приватности не было такой опции как „кто может видеть мой номер при импорте“. По умолчанию эта опция находилась в стандартном режиме „все пользователи“. По поему мнению, этой уязвимостью пользовались многие подпольные компании», - отметил Вакулин.

    Реакция администрации «ВКонтате» не удивила программиста. По его словам, множество экспертов по кибербезопасности сталкивались с несправедливостью со стороны руководства соцсети.

    «Они предлагали мне оплату, а минимальная оплата составляет 100 долларов, но почитал в интернете отзывы — многим моим коллегам-программистам не выплачивали эту денежную сумму, ссылаясь на то, что это вовсе не уязвимость. То есть дыру заделали, а оплату так и не совершили, в дальнейшем игнорили программистов, и в конечном итоге человек прождал восемь месяцев, и ему так и не выплатили за его уязвимость и за его потраченное время», - добавил Вакулин.

    В дальнейшем, программист планирует и далее заниматься исследованием подобных уязвимостей в других социальных сетях.
     
Загрузка...