vk.comВ социальной сети "ВКонтакте" обнаружены случаи, когда на сторонних ресурсах, из-за использования всего одной функции, пользователи открывают доступ к своим профилям. Сообщение об этом появилось в издании "Цукерберг позвонит" 28 мая.

Произошло это из-за использования электронных адресов, выделенных "ВКонтакте" вида ***@post.vk.com. Эти адреса используются пользователями для публикации новостей: электронное письмо, которое было отправлено на этот ящик, публикуется на странице пользователя. Скорее всего, несанкционированный доступ к профилю происходит тогда, когда сам пользователь использует адрес, полученный от соцсети, для регистрации на других ресурсах.

Часто, рассылки от сторонних сайтов содержат уникальные ссылки, при переходе по которым, можно с легкостью получить доступ к соответствующему аккаунту или настройкам. Письма, отправленные на ящик @post.vk.com, появляются на странице пользователя в социальной сети и оказываются доступны и во внутреннем поиске "ВКонтакте", и в поиске "Яндекса" по блогам (в этом случае доступен текст записей, которые были удалены).

Как отмечает издание, под угрозой оказались рассылки Facebook, Biglion, Kupikupon.ru, World of Tanks и причих. В компании KupiVIP, которая указала на угрозу, уже приостановили рассылку и уничтожили старые адреса.

Письма, пришедшие со сторонних ресурсов, и автоматически публикующиеся "ВКонтакте", также содержат в себе адрес электронной почты самого пользователя. Используя эту уязвимость, злоумышленники могут несанкционированно публиковать записи на "стене" пользователя в соцсети, отправляя письмона этот адрес. Сам аккаунт, в этом случае, остается в руках владельца.

Электронная почта является одним из официальных способов публикации фотографий и новостей в соцсети. В настройках пользователь может получить уникальный адрес, который он получит по средствам sms-сообщения. Если произошла утечка, то можно там же запросить новый адрес. Невыясненной остается пока причина, по какой пользователи эти адреса оставляли на сторонних ресурсах.