Школьник нашел «лазейку» для мошенников в «ВКонтакте»

23.07.2017

«Дыра» в системе позволяла получить доступ к любому аккаунту без двухфакторной авторизации.

В мае этого года 17-летний Илья Глебов из Мончегорска как им множество обычных ребят, готовился к ЕГЭ по информатике. В перерывах между подготовкой он заинтересовался статьей за 2016 год о взломах профилей в соцсети Facebook. Илья из интереса решил проверить метод, описанный в статье к «ВКонтакте», и обнаружил, что он применим к большей части аккаунтов.

Брешь позволяла получить доступ к странице пользователя, который не использует двухфакторную авторизацию. Код восстановления можно было получить на чужой номер телефона.

Через сервис вознаграждений HackerOne Илья известил о находке представителей соцсети. Спустя 17 часов специалисты соцсети устранили ошибку. Команда «ВКонтакте» отметила, что уязвимость касалась приложения «ВКонтакте» для Android.

За свою находку школьник получил денежное вознаграждение и возможность бесплатно учиться в петербургском университете ИТМО. «ВКонтакте» заплатила Глебову 2000 $. Декан факультета информационной безопасности и компьютерных технологий ИТМО Даниил Заколдаев встретился с Ильёй и после небольшого собеседования позвал учиться на факультет за счёт университета.

Так школьник предотвратил возможные последствия «несовершенства» системы.