В пресс-центре социально сети подчеркнули, что уязвимость не была небезопасной для пользователей. В частности, программисту удалось узнать адреса электронной почты и личные телефонные номера премьера РФ Дмитрия Медведева и основоположника сети «ВКонтакте» Павла Дурова.
Как сказал Ребл в интервью, размещенном в паблике «Код Дурова», он нашел уязвимость, когда пытался помириться с девушкой. Сейчас ошибка уже исправлена, что подтвердили как Рогозов, так и Алексей. Парень добавил в закладки ее подруг, после этого ээашхшжпо привычке принял решение посмотреть исходный код страницы, а там он отыскал связанные с профилем e-mail и номер телефона. Еще со школы взломами и созданием интернет-ресурсов занимаюсь, смотреть исходные коды уже вошло в привычку.
Как подчеркнул хакер, сервер отдавал больше данных, чем нужно, включая конфиденциальную информацию.
Сам хакер признается, что вначале не поверил, когда заполучил номер Павла Дурова.
Ошибка была найдена абсолютно случайно, однако администрация сети решила вознаградить пользователя, который публично описал ее и не стал использовать в личных целях.
Мужчине удалось связаться с представителями «ВКонтакте», и те порекомендовали ему описать баг на платформе HackerOne, созданную специально для того, чтобы оплачивать пользователям сайта компенсации за обнаруженные ошибки.
По утверждению взломщика, администрация «ВКонтакте» подтвердила наличие «дыры», но отказала в полагающейся ему денежной выплате.
Когда юноша открывал страничку в html-коде, в нем отображались все данные пользователей, в том числе скрытые номера телефонов и электронные ящики, ошибку он нашел 27 августа. Диагностировав «конкретный ляп», Алекс Ребл обратился к разработчикам «ВКонтакте», которые признали свою ошибку и оперативно устранили ее.
Также ему удалось получить телефонные номера основного разработчика «ВКонтакте» Олега Илларионова и операционного директора соцсети Андрея Рогозова. Он сказал, что хотел отыскать номер своей бывшей девушки. Однако, по достоверным располагаемым сведениям на вечер 29 августа, вознаграждения хакер пока не получил.
В пресс-центре руководства Российской Федерации сообщили, что привязанный к аккаунту Дмитрия Медведева номер телефона является техническим и принадлежит сотрудникам пресс-службы.
При помощи обнаруженной уязвимости хакеру удалось видеть скрытые данные остальных пользователей, в том числе электронные адреса известных политиков, их мобильные телефоны.