Школьник сообщил Вконтакте об уязвимости и заработал
Это история Ильи Глебова из Мурманской области. В прошлом году он готовился к ЕГЭ по информатике, нашел уязвимость в “Вконтакте”, за что получил от социальной сети вознаграждение в $2000. А позже декан ИТМО пригласил его учиться в их университете.
Все началось со статьи об уязвимости в социальной сети Facebook. Из нее Илья Глебов вычитал, что хакеры путем перебора кодов восстановления в тестовом домене компании с легкостью могут получить доступы к аккаунтам всех пользователей соцсети. Человек, обнаруживший уязвимость, получил за свою находку $15000 от компании Facebook. Эта новость впечатлила школьника, и он решил немного поэксперементировать с российским “Вконтакте”. Зная, что веб-версия уже достаточно изучена, Илья обратился к версии на Android.
Весь процесс исследования он подробно описал на платформе Хабр. На поиск проблем у школьника ушло два дня. Хотя, по словам самого Ильи, на все могло уйти и два часа. Тестируя различные варианты обхода систем защиты, начинающий программист уделил внимание сессии, где генерируется код восстановления доступа к страницы через SMS-сообщение. Он просто сделал две одинаковые сессии и получилось, что одинаковый код восстановления можно прислать на разные номера телефонов. Найденная уязвимость показала, что в “Вконтакте” можно взломать аккаунты, кроме тех, где используется двухфакторная авторизация.
Информацией о своей находке Илья поделился на сайте HackerOne. За проделанную работу школьник получил от социальной сети вознаграждение в размере $2000.
Буквально сразу Илья аналогичным образом решил проверить мессенджер ICQ, где подтвердилась та же “боль”. За это школьник получил еще $1000 от компании Mail.Ru Group.
Кстати, ЕГЭ по информатике он написал на 97 баллов. Несмотря на то, что по остальным предметам Илья показал не очень хороший результат, ему удалось поступить в престижный вуз. Об успехах молодого программиста узнал декан факультета информационной безопасности и компьютерных технологий ИТМО Данил Заколдаев, который по результатам собеседования с Глебовым предложил ему бесплатное обучение по образовательной программе «Технологии защиты информации».