Добрый день!
Хочу поведать вам историю, как однажды я нашел уязвимость вконтакте позволяющую по номеру телефона определить страницу пользователя в данной социальной сети.
Все началось с покупки нового телефона. Купив новый телефон я установил приложение вконтакте для андроид и ввел данные для входа в свой аккаунт. После чего в приложении возможно было осуществить поиск друзей по моей телефонной книге, что я и сделал. Моему удивлению не было предела когда мне предложили добавить найденных друзей. Их было несколько но суть поиска мне стала ясна и я записал несколько неизвестных мне номеров в телефонную книгу и возобновил поиск. Приложение выдало еще несколько страниц пользователей которых я даже не знал.
Будучи законопослушным пользователем я воспользовался платформой hackerone.com что бы сообщить об уязвимости.
После подачи баг репорта через полтора месяца мне пришел ответ.
Сказать что я был удивлен значило не сказать ничего. Ведь дело в том что 2 найденных наугад пользователя у них явно не мог быть записан номер моего телефона. А так же у некоторых моих друзей которых я нашел при первом поиске не установлено на телефоне приложение Вконтакте. На момент когда мне ответили баг уже был пофикшен. После данного инцидента пропало желание как то помогать данной социальной сети.
Автор: korishxp