17-летний школьник получил $2 тысячи от «ВКонтакте» за найденную при подготовке к ЕГЭ уязвимость
По словам Глебова, сначала он прочитал новость об аналогичной уязвимости в Facebook, а позже решил проверить ее во «ВКонтакте», так как «примерно знал, как работает» российская соцсеть. «Эту задачу я делал где-то в течение двух дней, хотя по общему времени она заняла часа четыре. Уязвимость заключалась в том, что там есть сессия, и по этой сессии генерируется код восстановления, который отправляется на телефон. Но никто не предполагал, что сессии могут быть одинаковыми. Я же сделал так, что сессии были действительно одинаковые: то есть одинаковый код можно отправить на разные телефоны», – приводятся слова Глебова в интервью. По его словам, уязвимость позволяла взломать большинство аккаунтов в социальной сети за исключением аккаунтов с двухфакторной авторизацией. Илья Глебов / Фото: ITMO.News Сначала школьник сообщил об уязвимости в рамках программы «ВКонтакте» на сайте HackerOne. Позже аналогичная уязвимость была обнаружена в мессенджере ICQ (оба сервиса принадлежат холдингу Mail.Ru Group), и школьнику доплатили еще одну тысячу долларов. По словам Глебова, уязвимость во «ВКонтакте» была исправлена за 17 часов. Статью с подробным описанием уязвимости школьник опубликовал на платформе блогов «Хабрахабр». По словам Глебова, он и раньше оставлял посты об уязвимостях на HackerOne. Об успехах школьника узнал декан факультета информационной безопасности и компьютерных технологий ИТМО Алексей Итин, который по результатам собеседования с Глебовым предложил ему бесплатное обучение по образовательной программе «Технологии защиты информации».