Хакер под ником Алекс Ребл обнаружил уязвимости социальной сети «ВКонтакте», через которые можно узнать привязанные к аккаунту номер телефона и адрес электронной почты. Таким образом он получил телефоны Павла Дурова и Дмитрия Медведева. Как пишет TJournal, администрация «ВКонтакте» подтвердила, что такая ошибка существовала и была исправлена, однако публично о ней не рассказывали.
Первыми об обнаруженном Реблом баге рассказали в сообществе «Код Дурова». На следующий день в группе появилось интервью с хакером, в котором тот заявил, что получил доступ к личным данным Павла Дурова, операционного директора «ВКонтакте» Андрея Рогозова и разработчика соцсети Олега Илларионова, а также премьер-
По словам Ребла, изначально он обнаружил баг, пытаясь связаться со своей девушкой. Он добавил в закладки во «Вконтакте» ее подруг, а затем обнаружил недоступные ранее данные.
«Еще со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность. […]
Сервер отдает больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON-формате: {"name»:"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} — по сути, нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер.
Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп», — рассказал Ребл.
Как рассказал TJ администратор сообщества «Код Дурова» Михаил Верник, обнаруженные Реблом телефоны были реальными, проверять не стали только номер Медведева (вероятно, он принадлежит сотруднику его пресс-службы), однако его почта была привязана к адресу на домене .gov.
Ребл заявил, что изначально не рассчитывал на вознаграждение за найденную уязвимость, а решил привлечь внимание администрации «ВКонтакте», чтобы ошибка была исправлена. Однако во «ВКонтакте» попросили его написать отчет об ошибке на HackerOne — платформе, через которую соцсеть выплачивает вознаграждения за найденные уязвимости.
Вечером 29 августа Ребл намекнул, что администрация соцсети отказала ему в выплате вознаграждения. По его словам, номера девушки он так и не нашел, хотя технически он мог проверить любого пользователя «ВКонтакте».
По мнению Ребла, об ошибке мог знать существенный круг людей — до тысячи человек. Его удивило то, что администрация соцсети не предупредила пользователей об уязвимости и не попросила поменять личные данные.