
6 мая появились сообщения о продаже логинов и паролей 100 миллионов пользователей «ВКонтакте». При этом авторы портала LeakedSource, на котором была размещена информация об утечке, заявили, что соцсеть не использует алгоритмы хеширования и шифрования паролей, то есть данные пользователей не защищены должным образом. Чуть позже представитель «ВКонтакте» отверг все обвинения, уточнив, что сама база и вовсе относится к 2012 году. theRunet решил узнать, какие ещё уязвимости присутствуют в соцсети и как компания работает с багами.
2012 все еще опасен
По мнению Евгения Красникова, сервис LeakedSource нагло врёт и, видимо, использует эту историю для самопиара в расчёте на то, что её подхватят журналисты, которые не станут докапываться до сути вопроса.

Тем не менее, Михаль Салат (Avast) считает, что даже данные из старой базы все равно могут нанести ущерб пользователям. На данный момент взломанные аккаунты продаются на черном рынке за 1 биткоин и все еще могут быть использованы в корыстных целях.
Например, если пользователь «ВКонтакте» не менял свой пароль, а также использует одинаковые комбинации для соцсети и для почты, то хакеры получают доступ ко всем письмам и к запросам на смену паролей — благодаря чему могут поменять пароли практически на любом сервисе.

Кредит по паспорту
Впрочем, многим пользователям стоит опасаться не только увода логина и пароля. По документам «ВКонтакте» до сих пор можно найти множество сканов страниц паспорта, дипломов, проектных деклараций, бизнес-планов и многих других приватных документов, относящихся к коммерческой тайне или персональным данным.


Однако это не совсем так — изначально сервис «Документы» в соцсети был публичным, но его быстро начали использовать его для передачи личных документов.
По мнению Антона Лопаницына, ONSEC, проблема здесь в том, что от человеческой глупости нет патча.


Впрочем, не только во «ВКонтакте» пользователи ведут себя непредусмотрительно. В Twitter есть аккаунт, который собирает со всей сети фотографии кредитных карт, которые пользователи выкладывают в открытый доступ. С помощью этих данных в некоторых онлайн-магазинах можно оплатить товары и услуги.
Уязвимость по DNS Spoofing
Артем Дизычев считает, что проблема с документами — не самый опасный баг Вконтакте. Дело в том, что уотсутствие принудительного https (hsts протокола) позволяет получить данные пользователей.


Как «ВКонтакте» работает с багхантерами
Как правило, за обнаружение багов ВК давали вознаграждение в виде голосов (внутренняя валюта «ВКонтакте», которую можно перевести в рубли). Год назад у социальной сети появилась полноценная программа Bug Bounty.
Ее функционал ограничен поиском технических уязвимостей в сервисах компании и в ее официальных мобильных приложениях (Android, iPhone/iPad, WinPhone).
В качестве уязвимостей не принимаются: сообщения от сканеров безопасности и других автоматических систем, сообщения об уязвимости, основанные на версиях ПО/протокола, без указания реального применения, сообщения об отсутствии механизма защиты или несоответствия рекомендациям (например отсутствие CSRF токена) без указания на реально существующие негативные последствия, framing, clickjacking, Logout CSRF, социальная инженерия, сообщения об Open Redirect (/away.php), selfxss.
В отчете нужно указать тип уявзимости, как её можно эксплуатировать, повторить и исправить.
Минимальная выплата составляет $100 и может быть получена только в том случае, если уявимость не использовалась ранее против пользователей «ВКонтакте».
Антон Лопаницын говорит, что раньше за баги не платили, потому что руководство не хотело отдавать деньги и не понимало, зачем их тратить, когда есть разработчики, которые должны тщательно смотреть свой код.
В 2015 году ввели Bug Bounty (система поощрений для внешних программистов, которые находят уязвимость и сообщают о ней) и наняли специалиста по информационной безопасности.

«ВКонтакте» иногда не платит за баги, но связано это с тем, что элементарно не хватает рук добраться до каждого репорта. Люди, которые требуют денег после публикации бага, в лучшем случае вызывают недоумение.

Камиль Хисматуллин, автор решения уязвимости по закрытию приватных картинок, также доволен работой Bug Bounty.

Артем Дизычев уточняет, что Bug Bounty работает по принципу кто первый обратился, тот и получит вознаграждение. Сумма определяется от критичности уязвимости.

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.