Переписка 400 пользователей «ВКонтакте» попала в открытый доступ через сервис веб-аналитики. Представители соцсети объяснили это использованием ненадежных VPN-сервисов, сообщает TJournal.
Уязвимость обнаружил в начале марта разработчик под ником Yoga2016. Ему удалось получить доступ к личным сообщениям некоторых пользователей через сервис статистики SimilarWeb.
Платная версия SimilarWeb позволяет посмотреть 300 самых популярных материалов конкретного сайта для анализа посещаемости. Yoga2016 использовал сервис с «ВКонтакте», но получил ссылки на личные сообщения 300 случайных пользователей. Ему удалось выгрузить сообщения на свой компьютер в незашифрованном виде.
Во «ВКонтакте» пояснили, что в открытый доступ попали сообщения только 400 пользователей, которые, предположительно, пользовались ненадежным VPN и открыли доступ к своим личным данным. Эти сервисы передают информацию пользователя третьим лицам, в том числе сервисам аналитики.
Разработчики «ВКонтакте» изучили запросы пользователей, открытые в SimilarWeb, и обнаружили там данные и с других сайтов. Среди их находок — доступ к API ботов Telegram, история поисковых запросов с сайтов американского ФБР и российского правительства, а также названия не анонсированных проектов с закрытого корпоративного ресурса крупной игровой компании.
В пресс-службе добавили, что не рекомендуют пользователям устанавливать VPN-сервисы от неизвестных авторов. Если они откроют разработчикам доступ к трафику на устройстве, то те смогут выгружать и передавать персональные данные, в том числе сообщения.
Добро пожаловать в реальность!