Челябинский программист Алексей Ребл несколько дней назад озадачился поиском телефона подруги Екатерины, с которой немного повздорил. По словам молодого человека, он проявил хакерскую смекалку, чтобы найти ее данные: пошаманил, “попрыгал с бубном” и таки нашёл уязвимость социальной сети "ВКонтакте". Найденный баг позволил узнать телефонные номера, привязанные к аккаунтам Дмитрия Медведева и Павла Дурова. Об этом сообщает Life.ru.
“А ведь это всё ради тебя Кать. Не жалуюсь денег мне конечно не заплатили (перестарался) да и не надо мне, я тебя искал, получил номер твоей Танюхи, Настёны, Ксении... а вот твоего номера не нашёл. Спокойной ночи тебе!" — написал на своей странице Алексей (орфография автора сохранена).
— Пытался найти во ВКонтакте новый номер телефона девушки, чтобы помириться. Решил добавить её подругу в закладки, чтобы, если что — ей написать. Ещё со школы взломами и созданием сайтов занимаюсь, смотреть исходные коды уже вошло в привычку. Тут в разделе закладки я и обнаружил странность, — цитируют Алексея создатели паблика "Код Дурова". — Сервер отдаёт больше данных, чем нужно, включая те, которые в закрытом доступе. Примерно в таком JSON формате: {"name":"имя","lastname":"фамилия","reg_phone":"номер в закрытом доступе","email":"Эл.Адрес в закрытом доступе."} — по сути нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп.
Отметим, что номер Екатерины Алексей по каким-то причинам так не получил, даже используя указанную выше схему. Почему? Выяснить пока не удалось. Кстати, программист привлек внимание пользователей “ВКонтакте” к специальной интернет-платформе для хакеров — HackerOne. По словам Алексея, он и раньше обнаруживал баги VK и именно на этой платформе информировал о них других программистов, но там его "жалобы" обрабатывали месяц, поэтому о нынешней неполадке он решил сообщить лично разработчикам “ВКонтакте”.
Именно из-за этого ненавязчивого упоминания платформы HackerOne (единственное интервью, которое дал Алексей размещено в паблике "Код Дурова" и заканчивается упоминанием платформы, а также перечислением ее плюсов и возможностей заработать) некоторые опрошенные редакцией “айтишники” отмечают, что, возможно, вся эта история — пиар проект HackerOne, а Алексея не существует вовсе. Во всяком случае, его аккаунт в ВК полностью обезличен и наполнен достаточно слабо, что вызывает определенные сомнения.