По словам Yoga2016, он использовал платную версию SimilarWeb и вместо данных о 300 самых популярных страниц на сайте получил ссылки на личные сообщение 300 случайных пользователей «ВКонтакте».
Редактор TJ написал одному из указанных по ссылке пользователей и после этого смог увидеть свои сообщения по ссылке из SimilarWeb.
В переписке, которую удалось выгрузить Yoga2016, оказались фотографии, пароли и другие личные данные этих 300 пользователей, отмечает издание.«Мне кажется, подобные запросы к API “ВКонтакте” созданы на случай, если полиция или другая госструктура захочет провести расследование», – комментирует Yoga2016 в своем посте.
Yoga2016 добавил, что сообщил об уязвимости в рамках официальной программы соцсети по поиску багов, однако не получил ни ответа, ни вознаграждения от компании.
Представители «ВКонтакте» пояснили, что уязвимость создана не самой соцсетю, а разработчиками сторонних приложений вроде альтернативных клиентов «ВКонтакте», имеющими доступ к API соцсети.
«Мы предполагаем, что некоторые разработчики могли злоупотребить этими правами и по какой-то причине передать данные в SimilarWeb. Важно отметить, что таким образом было получено только 400 токенов, то есть известно 400 пользователей, которые осознанно передали небезопасному приложению доступ к своим личным данным.
В настоящий момент мы оперативно расследуем этот вопрос и уже заблокировали подобные токены, чтобы обезопасить пользователей», – отметили в соцсети.