Очередная уязвимость в социальной сети «ВКонтакте»

В рамках популярнейшей российской социальной сети «ВКонтакте» зафиксированы случаи, когда из-за неправильного использования одной из ее функций пользователи открывали всем желающим доступ к своим аккаунтам и некоторым сторонним ресурсам.

Электронные почтовые ящики от социальной сети "ВКонтакте"

На этот раз речь идет об использовании адресов электронной почты вида ***@post.vk.com, которые выдаются пользователям социальную сетью «ВКонтакте».

Надо сказать, что подобные адреса применяются для быстрой публикации новостей. С практической точки любое электронное письмо, отправленное на подобный почтовый адрес, моментально на странице пользователя социальной сети «ВКонтакте».

Судя по всему, несанкционированный доступ к аккаунтам открывается в случае, когда сам пользователь использует полученный от «ВКонтакте» электронный почтовый адрес для регистрации на сторонних ресурсах.

Как известно рассылки от сторонних сайтов довольно часто содержат в себе уникальные ссылки, перейдя по которым, читатель электронного письма может получить прямой доступ к соответствующему аккаунту или определенным настройкам.

Стоит отметить, что отправленные на электронные почтовые адреса из серии @post.vk.com, письма появляются не только на странице пользователя во «ВКонтакте», но и становятся доступны как во внутреннем поиске социальной сети, так и в поиске «Яндекса» по блогам. Причем в последнем случае сохраняется текст даже удаленных пользователем записей.

На сегодняшний день под угрозу попали рассылки ведущей мировой социальной сети Facebook, популярнейшей игры World Of Tanks, а также модных купонных сайтов Biglion и Kupikupon.ru и многих других ресурсов.

А компания KupiVIP, которая раньше других пострадала от описанной выше уязвимости, приняла достаточно оперативное решение о приостановлении рассылки и полном уничтожении старых адресов электронной почты.

Кроме всего прочего электронные письма от сторонних ресурсов, автоматически публикуемые на странице пользователя в социальной сети «ВКонтакте», содержат адрес его электронной почты. Используя эту лазейку, злоумышленники могут несанкционированно публиковать записи, в том числе и на «стенах» пользователей во «ВКонтакте», отправляя электронные письма на уязвимые электронные адреса. При этом сам аккаунт остается в руках законного владельца.

Примечательно, что именно электронная почта является одним из официальных и часто используемых методой публикации новостей и фотографий в социальной сети «ВКонтакте».

Зайдя в раздел настроек своего аккаунта, каждый пользователь социальной сети «ВКонтакте» может запросить получение уникального почтового адреса, который придет к нему в виде SMS-сообщения, которое будет автоматически отправлено на номер мобильного телефона, указанный во время регистрации. При этом в случае утечки личной информации пользователь может запросить новый адрес.

Вместе с тем, остается непонятным, по какой причине пользователи оставляли эти адреса на сторонних ресурсах.