10 февраля 2016 в 15:23

Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя

Коротко

Была обнаружена уязвимость в мобильной версии сайта vk.com. Она позволяла просматривать превью скрытых фотографий, в том числе фотографии из диалогов пользователей, плюс можно было получить информацию о пользователях лайкнувших это скрытое фото. На данный момент уязвимости уже нет - её устранили полгода назад. ВКонтакте выразили благодарность в размере 700$ (нет, не в голосах).

С чего всё начиналось

Во время сессии отвлекаешься на все, лишь бы не готовиться к экзаменам. Так и я, увидев о Bug Bounty программе от ВКонтакте на hackerone.com, вместо подготовки к экзаменам, взялся искать уязвимости. Почему-то сразу потянуло искать уязвимости, связанные с фотографиями скрытыми настройками приватности, и как оказалось - не зря.

Поиск уязвимости на полной версии сайта

Предположив, что id скрытой фотографии мне известен (о его поиске - ниже), я начал пробовать подставлять этот id во всевозможные запросы curl"ом - пробовал сохранять скрытые изображения в свой альбом, отмечать себя на них, лайкать, репостить и т.п. ничего не давало положительный результат, пока я не попробовал просто отправить скрытую фотографию себе на стену. Результат был странным - в консоли запрос возвращал корректный результат и на стене появлялся новый пост, но его содержимое было пустым. Как я не старался, на сервере пресекались все попытки отправить скрытое фото на стену - посты были пустыми.

Переход на мобильную версию

Затем, я вспомнил этот комментарий и решил попробовать сделать то же самое в мобильной версии сайта.

Отправляем фото на стену:

Curl "http://m.vk.com/wall53083705" -H "Cookie: remixsid=#remixsid" --data "act=post&hash=#hash&attach1_type=photo&attach1=idВладельцаФото_idСкрытогоФото" # id фотографии состоит из двух частей разделенных знаком подчеркивания idВладельцаФото_idСкрытогоФото
Этот запрос выполнился не корректно, но обновив страницу, я с удивлением обнаружил, что на форме отправки появилась прикрепленная уменьшенная копия фотографии.

Максимальный размер фотографии - 130x130, но этого достаточно, чтобы, например, распознать лица на фото. Попытки получить ссылку на полное фото ни к чему не привели. Видимо, после закрытия этой уязвимости, с мобильной версии сайта прямые ссылки на полный размер просто так уже не получить.

Перебор фотографий

Уязвимость найдена. Для эксплуатации найденной уязвимости нужно получить id атакуемой фотографии.

Id фотографии состоит из двух частей: photo12345_330000000 (idВладельца_idФото), вторая часть - растет от фотографии к фотографии, но это не обычный автоинкремент. Так как алгоритм выбора шага неизвестен, будем перебирать с шагом 1.

Для перебора воспользуемся методом api photos.delete . Данный метод для всех существующих фотографий (в том числе и скрытых) вернет error_code : 15. А для всех несуществующих id фотографий вернется единица.

Скорость перебора

Из этой статьи можно узнать, как быстро перебирать фотографии. Да, данные в ней не самые новые, но даже если учесть, что за год фотографий стало в два раза больше, время перебора все равно остается приемлемым.

чтобы узнать прямые ссылки на фотки юзера, допустим, за прошлый год, нужно перебрать всего лишь 30 млн (от _320000000 до _350000000) различных вариаций ссылок

Воспользовавшись ускорениями перебора из указанной статьи, фотографии пользователя можно было бы перебрать:

за 1 минуту получить все ваши вчерашние фотографии, за 7 минут - все фото, загруженные на прошлой неделе, за 20 минут - прошлый месяц, за 2 часа - прошлый год.

Отсев открытых/скрытых

Получив ссылки на все (и скрытые и открытые) фотографии пользователя, можно выбрать только скрытые, попробовав получить информацию о фотографии с помощью метода photos.getById. Те фотографии, информация о которых не возвращается этим методом - являются скрытыми.

Информация о лайкнувших пользователях

Также можно было узнать пользователей, которые поставили лайки на скрытое фото. Метод likes.getList возвращал всех пользователей, которые добавили заданный объект в свой список мне нравится, даже если этот объект скрыт для пользователя запускающего этот метод.

Репорт на hackerone

Мой репорт был открыт в июне. Закрыли уязвимость через два с половиной месяца, ничего мне не сообщив. Еще через месяц я получил ответ что уязвимость подтверждена и закрыта. А еще через какое-то время получил и вознаграждение.

P.S.: тем, кто впервые пытается вывести вознаграждение с hackerone.com на новый аккаунт paypal - советую внимательно прочитать условия. Paypal при переводе средств, может без вашего согласия конвертнуть вознаграждение в валюту страны указанной в вашем профиле.

Огромный сборник частных фотографий в ВК (около 100 млн.). Сервис собирает фото всех пользователей соц. сети в единый каталог.

Найти фотографии того или иного пользователя просто - достаточно ввести его . А удалить сложно, если написать на e-mail создателям, то шанс невысокий, а, если внести пожертвования, то шанс повышается.

Каким образом скотобаза собирает фотографии в ВК? Всё очень просто: сервис автоматически загружает в сборник фотографии всех пользователей в онлайн режиме . Неважно, где вы Выкладываете фото, в сообществе или профиле. Даже, если фото удалить через пару минут - оно уже будет в скотобазе.

Поэтому много недовольных пользователей обратились в Роскомнадзор , который поспособствовал тому, чтобы скотобаза была заблокирована на территории Российской Федерации. Обход блокировки невозможен.

Сбор и хранение личных данных пользователей запрещён . Хотя пользователи сами выкладывают фотографии в публичный доступ.

На данный момент сайт не работает даже с прокси-серверах. Владельцы забросили дело сразу же после блокировки. Так что можете спать спокойно и не боятся, что кто-то посмотрим Ваши личные фотографии.

Аналоги Скотобазы

В 2018 годах были разные аналоги, типа "Спалили" , но все они не работают, так как разработчики Вконтакте подкрутили скрипты, запрещающие ботам похищать частные фото.

Внимание: в интернете полно "аналогов" скотобазы, но все они мало того, что не работают, но и являются причиной взлома аккаунта ! Если Вы наткнулись на подобные сайты ни в коем случае не вводите данные от Вконтакте . Злоумышленники получат доступ к аккаунту и смогут .

Эпоха скотобазы и подобных сервисов прошла. Теперь хранение и распространение интимных, частных фотографий под запретом. Если не соблюдать закон - последует наказание.

Как бы противоречиво это ни звучало, но даже в таком публичном месте, как социальные сети, люди ценят приватность и стараются всячески оградить себя, свое пространство в виде профиля, от посторонних глаз. Закрыть аккаунт в состоянии каждый пользователь, но, на самом деле это дает лишь иллюзию приватности. На самом деле есть разные секреты, благодаря которым можно свободно просматривать любой профиль с ограниченным доступом.

Как посмотреть зная ID?

Самая важная информация в профиле каждого зарегистрированного в социальных сетях пользователя – это адрес его страницы, который очень легко можно узнать, даже если он не единожды подвергался изменению. Если же вам известен уникальный цифровой адрес аккаунта, который необходимо просмотреть, то проблема может решиться в несколько кликов.

Зная идентификатор можно просмотреть информацию с закрытого аккаунта пользователя с помощью вспомогательных сервисов или же подставив данные в ссылки. Первый способ самый простой и быстрый – нужно просто зайти на сайт, осуществляющий просмотр закрытых страниц и вставить необходимые данные, то есть идентификатор. Вот некоторые из самых популярных сайтов для просмотра:

Простой пример просмотра закрытой страницы пользователя с помощью первого указанного сервиса. Осуществить ознакомление с информацией, находящейся в ограниченном доступе просто – для этого достаточно выполнить несколько простых действий.

Как посмотреть не зная ID пользователя?

Намного сложнее вскрыть и просмотреть информацию с закрытой страницы, если не известна самая главная информация, то есть идентификатор. Но, и это так же не является абсолютным препятствием. Однако, все равно придется узнать этот адрес, так как все сервисы, через которые можно просмотреть закрытые страницы в вк, работают по похожем принципу и используют именно идентификатор, а не буквенный адрес.

Как узнать ID?

Так как социальная сеть Вконтакте не стоит на месте и регулярно обновляется, вводя новые функции, возможности, устраняя недостатки и просчеты изначально пропущенные. В новом интерфейсе абсолютно закрыть страницу невозможно, поэтому узнать идентификатор не составляет большой проблемы. Есть множество способов, и вот некоторые из них.

Подробнее о вспомогательных инструментах

Благодаря существованию таких сервисов, которые позволяют вскрывать спрятанную от любопытных глаз информацию, можно просмотреть практически все недоступные данные. Как работают и в чем суть вспомогательных инструментов?

Vkontakte doguran ru

Этот сайт очень удобный и простой в использовании, благодаря чему он и стал самым популярным среди любопытных пользователей, не желающих довольствоваться только лишь теми данными, которые им открывают. Принцип работы относительно прост – сайт просто автоматизировал процесс генерации ссылок, которые открывают личную информацию и контент. В принципе, при желании это можно сделать вручную, но в наше время нет никакой необходимости подставлять значение айди, так как есть автоматическая система.

На сайте повсюду подсказки, поэтому с ним разобраться несложно. Вставить из буфера обмена идентификатор, нажав кнопку получить страницу генерированных ссылок.

Vk view

Аналогичный, но при этом созданный раньше вспомогательный сервис, который работает по такому же принципу, что и предыдущий. Кроме возможности открывать скрытые страницы на сайте есть много других интересных функций, возможность скачивать видео.

Важно! Ни один из подобных сервисов не обеспечит просмотр заблокированных страниц или тех, которые были удалены. До тех пор, пока они снова не станут активными, их не сможет видеть никто.

Можно ли просмотреть без регистрации?

Преимущество всех вышеописанных сервисов заключается в том, что воспользоваться их услугами можно не регистрируясь на них. Здесь не нужно проходить авторизацию и регистрацию. Но, для ознакомления с материалами вскрытых данных вк нужно войти в свой аккаунт – анонимно, не входя на сайт социальной сети, не получится это сделать.

Приватность или публичность

Несмотря на то, что интернет подразумевает публичность и свободный доступ, все же, люди пытаются скрыть что-то и контролировать широту аудитории, которой доступна их частная или профессиональная информация. Но, важно знать, что ни одна настройка не защищает на 100%, как это видно из данной инструкции. Поэтому, лучший способ сохранить что-то в секрете – не загружать это в интернет!

В процессе изучения возможностей и простого использования страниц современной социальной сети ВКонтакте, у пользователей появляется большое количество вопросов. Одним из самых распространенных является решение проблемы, как посмотреть скрытые фото в ВКонтакте. Довольно часто пользователи скрывают свои профили полностью или частично, соответственно посмотреть их фото не представляется возможным.

Перед тем как рассмотреть вопрос, относительно возможности посмотреть скрытые фото, стоит кратко рассмотреть тему по их скрытию. Чтобы спрятать свои фото, потребуется выполнить следующие действия:

• Требуется зайти на страницу ВК;
• Слева найти строку «Мои настройки» и активировать ее;
• Открыть подраздел «Приватность»;
• Появятся специальные настройки приватности. Их можно устанавливать по своему усмотрению.

Скрыть можно не только фото, но аудиозаписи, посты и друзей. Выбрав строку, отражающую тех, кто может видеть фото, нужно определить тех, кому будет позволено видеть личные фото. Здесь можно выбрать полную скрытность, установив «только я» или предоставив просмотр только для друзей. Установленные функции сразу после проведенных настроек начинают действовать.

Как посмотреть сохраненные фото в ВК если они скрыты?

Итак, как увидеть скрытые фото пользователей ВК? Официальной схемы действия здесь нет, так как разработчики социальной сети уважают стремление пользователей сохранять свою приватность. При желании осуществить просмотр скрытых фото ВК, стоит выполнить следующие действия:

1. Нужно зайти в профиль пользователя, чьи фото есть желание посмотреть.
2. Совершается клик по свободному месту обычной кнопкой мыши.
3. Выбирается раздел «Посмотреть исходный код страницы».
4. Нажимается Ctrl+F.
5. В поиске вводится «albums», только без кавычек.
6. В строке после данного слова появляются цифры, их нужно скопировать. Это и есть код страницы.
7. Нужно снова зайти к пользователю в профиль и в строке адреса после ID ввести «?z=albums», также без кавычек.
8. Вставляется скопированный предварительно фрагмент.
9. Нажимается Enter, и получить удовольствие от лицезрения скрытых фото.

Важно! Этот вариант смотреть закрытые фотографии, если доступ закрыт, не совсем законный, администрация ВК его не одобряет.

По этой причине не нужно удивляться, если возможность смотреть сохраненные фото, если они скрыты, будет закрыта.

Сайт для просмотра скрытых фотографий В ВКонтакте

Данный метод можно использовать в случае уже полученного фрагмента кода, получить который можно вышеописанным способом. Для просмотра скрытых фото, необходимо вернуться на нужную страницу, на сайте социальной сети в строке браузерного поиска ввести ссылку, выстроенную по типу – vk.com/id….., где после ID идет идентификационный номер страницы. Далее ставится курсор на самый конец адреса и сразу вводятся специальные знаки «?z=».

В результате подобных действий в строке рабочего браузера выйдет надпись – vk.com/id……?z=albums….., где многоточие является ID пользователя. После нажатия на Enter, вниманию автоматически откроются все фото интересующего человека.

Заключение

Представленными вниманию довольно простыми способами можно без особых проблем изучить фото пользователей, находящихся в закрытых альбомах. Основным преимуществом подобных методик является возможность увидеть фото в альбомах тех людей, что уже не являются друзьями по ВК и совершенно незнакомых пользователей.

Сложно найти компьютерного пользователя, который бы не слышал или не был зарегистрирован в социальной сети ВКонтакте. Интернет-общение настолько захватило современных людей, что без них мы уже не представляем свой досуг, да что там, вообще свою жизнь. Имея собственную страничку в ВК, невольно замечаешь множество нюансов, которые таит в себе данный ресурс, однако не со всеми ними легко справиться. У многих юзеров все эти тонкости и премудрости вызывают сложности, поэтому без посторонней помощи здесь не обойтись.

Например, много вопросов поступает о том, как скрытые фотографии ВКонтакте. Но бывает так, что , а вам позарез нужно увидеть его снимки. Про этичную сторону этого намерения я рассказывать не буду, но предложу вам способ, который, возможно, и поможет.

Как скрыть фотографии

Прежде чем перейти непосредственно к теме данной статьи, мне хотелось бы напомнить вам, как можно скрыть свои фотографии. Думаю, что многим подобная информация будет интересной, а те, кто уже нею владеют, могут освежить свои знания. Итак, дело обстоит так:

1. Зайдите в ВКонтакте, предварительно введя свои персональные данные для входа.
2. В левой части окна отыщите строчку «Мои настройки», нажмите на нее.
3. Далее откройте вкладку «Приватность».
4. Там будет перечислены настройки, которые вы можете изменить на свое усмотрение. Здесь вы сможете также , . Среди них отыщите «Кто видит фотографии, на которых меня отметили». Рядышком есть выпадающий список, который позволяет выбрать круг людей, которым будут видны ваши фото. Так, вы можете выбрать «Только друзья» или вообще скрыть снимки ото всех, нажав «Только я».

После данных настроек изменения незамедлительно вступают в силу.

Как посмотреть скрытые фотографии

Теперь, собственно, к основному вопросу: как же посмотреть фото людей, которые ограничили доступ? Прямого ответа на этот вопрос нет, потому как администрация ВК предполагает, что чужую приватность следует уважать. Однако если ситуация такова, что вариантов нет, предлагаю вам воспользоваться таким вариантом.

Хочу обратить ваше внимание, что данный способ не является одобренным администрацией ВК, поэтому он может перестать работать в любо момент. Универсального рецепта нет, поэтому не стоит возлагать слишком много надежд. В любом случае, желаю удачи!