Форум  |   Правила  |   Реклама  |   Статьи  |   Поиск  |   Регистрация  |   Вход

Школьник получил $3 тысячи от «ВКонтакте»
Новая тема Написать ответ
# Вт Июл 25, 2017 1:18 pmMiss Content Зарег.: 05.03.2010 ; Сообщ.: 7881Ответить с цитатой
Илья Глебов из Мончегорска получил от «ВКонтакте» и ICQ $3 тысячи за найденную уязвимость, которая позволяла взламывать профили в сервисах. Проблема затрагивала почти все аккаунты в соцсети и мессенджере, пишет ITMO.News.

В интервью Глебов рассказал, что готовился к ЕГЭ по информатике, но решил отвлечься и нашёл статью 2016 года о взломах в Facebook. Тогда он попробовал применить такой же метод во «ВКонтакте».

Цитата:
Эту задачу я делал где-то в течение двух дней, хотя по общему времени она заняла часа четыре. Уязвимость заключалась в том, что [во «ВКонтакте»] есть сессия, и по этой сессии генерируется код восстановления, который отправляется на телефон. Но никто не предполагал, что сессии могут быть одинаковыми.

Я же сделал так, что сессии были действительно одинаковые: то есть одинаковый код можно отправить на разные телефоны. Эта уязвимость позволяла взломать большинство аккаунтов в социальной сети, в безопасности были только аккаунты с двухфакторной авторизацией (у них нельзя делать восстановление по номеру телефона). Подробно ход работы описан на Habrahabr. ​
— Илья Глебов


После обнаружения уязвимости Глебов сообщил о ней сначала во «ВКонтакте» через программу вознаграждений на HackerOne, а затем в ICQ. «Уже через 17 часов уязвимость была устранена. Спустя несколько дней мне выплатили $2 тысячи. В программе от ICQ мне была сделана доплата в размере $1 тысячи», — сказал он.

Глебов сказал, что хотел бы поступить в ИТМО. После этого декан факультета информационной безопасности и компьютерных технологий университета Данил Заколдаев пригласил его на обучение по программе «Технологии защиты информации» за счёт бюджета вуза.
# Чт Июл 27, 2017 2:29 pmDreams Зарег.: 24.06.2016 ; Сообщ.: 383Ответить с цитатой
классно,молодец) а еще читал сегодняпро парня,который нашел где то ошибку,но в итоге его посадили. вот и думаешь :стоит помогать или тихо молчать лучше. Smile
# Сб Авг 19, 2017 11:24 amHOST-I7U Зарег.: 16.11.2015 ; Сообщ.: 19Ответить с цитатой
Круто нужно к себе брать таких на работу.
# Пн Авг 21, 2017 11:17 amMiss Content Зарег.: 05.03.2010 ; Сообщ.: 7881Ответить с цитатой
Ответы юриста: как избежать ответственности за поиск уязвимостей: https://xakep.ru/2017/01/12/lawyer-answers-hacker-responsibility-howto/
# Пн Авг 21, 2017 1:00 pmMarcel Зарег.: 08.06.2016 ; Сообщ.: 392Ответить с цитатой
слишком много текста и шрифт неудачный. могу сказать что лучше вообще не лезть в такое. потому что вероятность что накажут больше,чем вознаградят)
# Вт Авг 22, 2017 7:57 amSkyworker Зарег.: 25.12.2013 ; Сообщ.: 11627Ответить с цитатой
А теперь расскажите мне, что Дуров свой "ВКонтакте" не полностью слизал у Фейсбука! :nah:
Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА
 
Любое использование материалов, размещенных на ArmadaBoard.com, без разрешения владельцев ArmadaBoard.com запрещено.