В прошлой статье я рассказал, что можно получить доступ к разнообразным документам, которые отправлялись исключительно в личных сообщениях. По идее больше никто не имел никакого доступа к ним, кроме двух человек.
Но на самом деле все по другому. По скриншотам и результатам вы сможете понять, что эта уязвимость действительно работает и ее можно использовать.
В эксперименте, у меня не было цели использовать документы в своих целях. Задача лишь одна - понять, что это реально документы с чьих-то личных переписок. А если это так, то использование данной уязвимости не имеет границ.
Информация предоставлена исключительно в образовательном формате.
Я решил быстро пробежаться по поиску. Нашел некоторые виды документов, которые были отправлены не так давно. Это позволило ускорить процесс получения ответов. В процессе я нашел бланки заказов, выполнение работы, реквизиты, информации о счетах и т.д. Но самое интересное - было получить подтверждение.
Подтверждение №1
Альбина была в полном восторге и непонимании. У не понимала как у меня оказался файл с подтверждением ее заказа. И она не понимает как это пришло. Это первое подтверждение того, что лучше не пересылать документы в социальной сети вконтакте.
Подтверждения №2
Удалось найти форму, которую нарисовал пользователь. Но человек не понимает как получилось, что его файл оказался у меня. Дальше я не стал вести диалог, так как не было никакой цели.
Подтверждения №3
Еще одна работа на заказ. Человек подтверждает, что отправлял не мне, но пытается "исправить". Очень забавная ситуация, когда он этого не сможет сделать.
Подтверждения №4
В ходе этого общения был получен файл с разными интересными данными о магазине, включая цены, расположения, наценку и т.д. Но пользователь подтверждает, что хотел отправить или отправлял это кому-то другому. Интересно, чтобы было, если бы это были пароли или другие важные документы.
Подтверждения №5
Интересно получилось. Оказывается, что документы, которые админы групп и страниц выкладывают на таймер, также подгружаются в эту базу и их можно посмотреть. Это еще один вид документов, которые можно найти в свободном доступе. Это особенно интересно, если будет публиковаться анонс или какая-то важная информация.
Заключение
Я хочу сказать, что если вы используете социальную сеть вконтакте, то желательно сейчас удалить все документы, переписки и другие данные, которые могут быть использованы против вас. А еще я могу сказать, что не так давно был обнаружен баг, в ходе которого было раскрыто, что агенты службы поддержки могут просматривать всю вашу историю, фото, видео, а также другие данные, даже если вы их удалили.
По статье думаю понятно, что это вызывает удивление. На фоне этого можно узнать другую информацию и применить ее в действии.
Но на самом деле все по другому. По скриншотам и результатам вы сможете понять, что эта уязвимость действительно работает и ее можно использовать.
В эксперименте, у меня не было цели использовать документы в своих целях. Задача лишь одна - понять, что это реально документы с чьих-то личных переписок. А если это так, то использование данной уязвимости не имеет границ.
Информация предоставлена исключительно в образовательном формате.
Я решил быстро пробежаться по поиску. Нашел некоторые виды документов, которые были отправлены не так давно. Это позволило ускорить процесс получения ответов. В процессе я нашел бланки заказов, выполнение работы, реквизиты, информации о счетах и т.д. Но самое интересное - было получить подтверждение.
Подтверждение №1
Альбина была в полном восторге и непонимании. У не понимала как у меня оказался файл с подтверждением ее заказа. И она не понимает как это пришло. Это первое подтверждение того, что лучше не пересылать документы в социальной сети вконтакте.
Подтверждения №2
Удалось найти форму, которую нарисовал пользователь. Но человек не понимает как получилось, что его файл оказался у меня. Дальше я не стал вести диалог, так как не было никакой цели.
Подтверждения №3
Еще одна работа на заказ. Человек подтверждает, что отправлял не мне, но пытается "исправить". Очень забавная ситуация, когда он этого не сможет сделать.
Подтверждения №4
В ходе этого общения был получен файл с разными интересными данными о магазине, включая цены, расположения, наценку и т.д. Но пользователь подтверждает, что хотел отправить или отправлял это кому-то другому. Интересно, чтобы было, если бы это были пароли или другие важные документы.
Подтверждения №5
Интересно получилось. Оказывается, что документы, которые админы групп и страниц выкладывают на таймер, также подгружаются в эту базу и их можно посмотреть. Это еще один вид документов, которые можно найти в свободном доступе. Это особенно интересно, если будет публиковаться анонс или какая-то важная информация.
Заключение
Я хочу сказать, что если вы используете социальную сеть вконтакте, то желательно сейчас удалить все документы, переписки и другие данные, которые могут быть использованы против вас. А еще я могу сказать, что не так давно был обнаружен баг, в ходе которого было раскрыто, что агенты службы поддержки могут просматривать всю вашу историю, фото, видео, а также другие данные, даже если вы их удалили.
По статье думаю понятно, что это вызывает удивление. На фоне этого можно узнать другую информацию и применить ее в действии.