Приглашаем инвестора

Критическая ошибка в работе социальной сети «ВКонтакте»

Критическая ошибка в работе социальной сети «ВКонтакте»
Перед публикацией данного баг-репорта информация о наличии текущей критической проблемы была доведена до ООО «В Контакте». Также в индивидуальном порядке были предупреждены ведущие мировые компании в области информационной безопасности.

Ресурс Pedo24.com обнаружил критическую ошибку в работе социальной сети «ВКонтакте», которая способна привести к дальнейшей невозможности авторизации пользователя.

Описание

В процессе разморозки временно заблокированной страницы социальной сети «ВКонтакте» на стороне сервера инициируется строгий контроль открытой сессии. Если в процессе восстановления доступа к временно заблокированному аккаунту произвести очистку куков и сессионного хранилища в течение 24 часов после ввода нового номера телефона, кода подтверждения и нового пароля, то дальнейшая успешная авторизация невозможна, поскольку на стороне сервера ожидается подключение исключительно в рамках ранее открытой сессии с передачей клиентской стороной соответствующего идентификатора сессии. Время контроля сессии бесконечно.

Шаги воспроизведения для тестирования

  1. Спровоцировать временную блокировку аккаунта;
  2. Ввести виртуальный номер телефона, код подтверждения и новый пароль;
  3. Произвести logout и повторную авторизацию для проверки корректности новых учётных данных;
  4. Произвести очистку куков и сессионного хранилища.

Потенциальная угроза диверсии

Существует угроза реализации злоумышленниками следующей схемы диверсии в отношении пользователей социальной сети «ВКонтакте»:

  1. Провоцируется временная блокировка (заморозка) аккаунта;
  2. Сразу после смены номера телефона и ввода нового пароля на стороне клиента очищаются куки и сессионное хранилище.

Результат: Дальнейшая авторизация клиента невозможна.

Автоматизированная программная реализация злоумышленниками данной схемы способна привести к диверсии в отношении пользователей социальной сети «ВКонтакте» и в отношении ресурса vk.com в целом. Также возможна отработка злоумышленниками всех текущих временно заблокированных аккаунтов.

Прогноз последствий

В случае использования временного виртуального номера или физической недоступности реального номера телефона, последствия для аккаунта пользователя фатальные. Огромное количество пользователей социальной сети «ВКонтакте» находятся под угрозой потери своих аккаунтов.

Приоритет

Учитывая возможность проведения масштабной диверсии в отношении социальной сети «ВКонтакте», статус: Критический

Обсудите эту публикацию на форуме →