В некоторой группе ВКонтакте участники обнаружили серьезный баг:

В данный момент любой может комментировать фотографию профиля Павла Дурова.

Как это стало возможно? Всех подробностей я не знаю, но в общих чертах это выглядит так: пользователь с помощью десктоп-приложения для работы с ВКонтакте и определенного метода VKontakte API постит себе на стену запись вида "%USERNAME% обновил фотографию на странице". А фотография, которая прикреплена к сообщению - аватар страницы Дурова.


Любой, кто комментирует это сообщение, в то же время оставляет комментарий под фотографией Дурова. Конечно же, такое можно проделать не только с его фотографией, иначе я не стал бы писать об этом в блоге.

На тот случай, если комментарии будут удалены, сохранил себе скриншот. Имена на всякий случай размыл.


Выводы? Серьезная дырка в приватности ВКонтакте и недоработки по безопасности API - не все хорошо в этой социальной сети.

Поиск