Компанией «ВКонтакте» летом текущего года была запущена программа вознаграждений для нашедших уязвимости исследователей информационной безопасности.
Минимальная сумма гонорара составляет 100 долларов. Размер вознаграждения пропорционален уровню угрозы, исходящей от уязвимости. Однако далеко не все люди, нашедшие в сервисе бреши, сообщают о администрации, другие же, напротив, спешат обнародовать свою находку.
К последним относится и Михаил Фирстов, эксперт компании HeadLight Security, публично рассказавший об уязвимости, обнаруженной им во «ВКонтакте». С помощью уязвимости можно осуществлять перехват личных сообщений пользователей в рамках атаки типа man-in-the-middle.
Чтобы иметь возможность читать чужую личную переписку в социальной сети, нужно находиться в той же локальной или беспроводной сети, что и жертва, авторизованная во «ВКонтакте». Дляф того, чтобы наглядно увидеть возможности использования данной уязвимости, можно применить утилиту vkmitm, позволяющую осуществлять обработку сообщений из трафика в режиме реального времени или офлайн из PCAP-файла.
Представители «ВКонтакте» пока не давали каких-либо комментариев касаемо уязвимости, обнаруженной Фирстовым.