Уязвимость в программном механизме "ВКонтакте" позволяет хакерам получать прямые ссылки на изображения, отправленные в личных сообщениях, а также хранящиеся в личных и групповых фотоальбомах. Обнаружил ошибку программист из Казани Камиль Хисматуллин, написавший о ней в своем блоге.
"Я создал эксплойт, который bruteforce-методом получает идентификаторы фотографий, загруженных в определенный период, а затем с помощью этой уязвимости получил возможность узнать прямые ссылки на изображения", — отметил Хисматуллин. Он также подчеркнул, что раздобыть прямую ссылку можно для любого хранящегося изображения, независимо от настроек конфиденциальности.
По словам Камиля Хисматуллина, для того чтобы получить ссылки на все загруженные в течение последнего года фотографии, требуется около двух часов работы. Программист отметил, что администрация "ВКонтакте" уже знает о наличии уязвимости.
