Во «ВКонтакте» обнаружили баг, позволяющий просмотреть пользователей приложений

Обновлено: Баг перестал работать. Во «ВКонтакте» рассказали, что оперативно устранили его.

Пользователи нашли баг в разделе поиска по людям во «ВКонтакте», который позволяет узнать, кто использовал то или иное приложение. Для использования уязвимости достаточно подставить числовой идентификатор приложения со знаком минус в ссылку вида «https://vk.com/search?c[photo]=0&c[group]=[идентификатор]».

Многие сервисы используют приложения «ВКонтакте» для авторизации на своих сайтах, поэтому с помощью бага можно узнать конфиденциальную информацию, например, кто из пользователей соцсети авторизовался на Pornhub. Порносайт использует специальное приложение с идентификатором 6095035 для проверки возраста всех российских пользователей.

Числовой идентификатор приложения, к которому обращается скрипт на сайте Pornhub

Если подставить это числу в ссылку, то можно увидеть, что около 2,9 миллионов человек авторизовались на Pornhub через «ВКонтакте». В соцсети рассказали, что «оперативно устранили баг», но не пояснили, как долго он существовал.

Источник: