VKontakteホール、ユーザーの個人データ漏洩

VKontakteソーシャルネットワークのパスワード回復システムに見つかったホールに関するニュースは、ネットワーク上で急速に広まっています。携帯電話番号を入力すると、この番号でソーシャルネットワークに登録した人の名前とアバターを取得できます。



この「電話帳」の使用は簡単です。



1.モバイルバージョンのサイトm.vk.comにアクセスします

2. [パスワードをお忘れですか？]をクリックします

3.電話番号を入力してください

4.名前とアバターを取得する



時々キャプチャを入力する必要があります。



ポイントは小さいです-穴がアクティブである間、ロシアとCISの電話番号の最大のベースを解析します。



更新 2014年1月16日現在、問題は部分的に解決されています。上記の方法では、ユーザー名は提供されず、アバターのみが提供されます。



写真で検索を使用すると、場合によってはユーザーのページに表示されます。 アバターが非常に一般的である場合、ほとんどの場合、写真へのパスにはユーザーIDの最後の3桁が含まれます（例： cs123456.vk.me/v1234567 890 / ... 890はユーザーIDの最後の3桁です）。 現時点では、この方法はアバターのないユーザーを見つけるのにまったく役に立ちません。



モバイルAPIのメカニズムを検討する計画。