При открытии страницы в html, в коде отображались все данные пользователей, в том числе скрытые номера.
Подписчик соцсети «ВКонтакте» под ником Alex Rebl обнаружил уязвимость в новом дизайне сайта, позволившую ему получить доступ к связанным с учетными записями закрытым номерам телефонов и почтовым ящикам известных лиц, в том числе основателя ресурса Павла Дурова, премьер-министра РФ Дмитрия Медведева и главного разработчика «ВКонтакте» Олега Илларионова.
По словам Rebl’а, уязвимость была обнаружена случайно при попытке связаться в соцсети с бывшей девушкой. Rebl решил добавить ее подругу в закладки (одна из функций «ВКонтакте») и внезапно выявил ошибку, благодаря которой смог увидеть скрытые данные других пользователей.
Когда молодой человек открывал страницу в html, в коде отображались все данные пользователей, включая скрытые номера. Как отметил хакер, сервер отдавал больше данных, чем нужно, включая конфиденциальную информацию.
«По сути нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер», - пояснил Rebl.
Молодой человек проинформировал о проблеме администрацию ресурса. По словам операционного директора соцсети Андрея Рогозова, в настоящее время уязвимость уже устранена.