«ВКонтакте» и ICQ выплатили $3 тысячи школьнику, который нашел способ взламывать аккаунты
Школьник из Мончегорска Илья Глебов готовился к ЕГЭ по информатике и нашел статью, в которой был описан метод взлома аккаунтов в Facebook. Глебов решил применить его для «ВКонтакте» и ICQ и понял, что метод работает и там. За обнаружение уязвимости он получил от социальной сети и мессенджера $3 тысячи.
Илье Глебову 17 лет. Он решил сдавать информатику, потому что хотел изучать информационную безопасность в университете ИТМО. Решая задачу №27, он решил почитать статьи. В одной из них, опубликованной в 2016 году, речь шла о взломе аккаунтов в Facebook. Глебов подумал, что описанный в ней метод, основанный на переборе кодов восстановления на тестовом домене компании, может сработать и в случае с «ВКонтакте».
Илья Глебов
Уязвимость заключалась в том, что там есть сессия и по этой сессии генерируется код восстановления, который отправляется на телефон. Но никто не предполагал, что сессии могут быть одинаковыми. Я же сделал так, что сессии были действительно одинаковые: то есть одинаковый код можно отправить на разные телефоны. Эта уязвимость позволяла взломать большинство аккаунтов в социальной сети, в безопасности были только аккаунты с двухфакторной авторизацией (у них нельзя делать восстановление по номеру телефона). Подробно ход работы расписан на Хабре
Глебов решил написать об уязвимости на HackerOne. Через 17 часов ошибку устранили, а через несколько дней ему выплатили $2 тысячи. Еще $1 тысячу Глебов получил, когда оказалось, что точно так же можно взломать аккаунт в ICQ. Правда, деньги он сможет вывести с PayPal только когда ему исполнится 18. Глебов рассказал, что не собирается их тратить и будет копить.
По словам школьника, он равняется на Павла Дурова и считает правильным его взгляд на информационную безопасность. Он сдал информатику на 97 баллов из 100 возможных и теперь будет учиться в ИТМО, где ему предложили бесплатное обучение на факультете «Компьютерные технологии и управление». Работать Глебов хотел бы «в какой-то большой серьезной компании», которая позволит набраться опыта, например, в «Яндекс», «ВКонтакте» или Jet Brains.
«ВКонтакте» не впервые награждает тех, кто помогает защищать пользователей от хакерских атак. В мае социальная сеть подвела итоги участия в программе поиска уязвимостей HackerOne. За два года за отчеты об уязвимостях в технических сервисах она выплатила более $148 тысяч.