Добрый день, Хабр!
Хочу поведать вам историю, как однажды я нашел уязвимость вконтакте позволяющую по номеру телефона определить страницу пользователя в данной социальной сети.
Все началось с покупки нового телефона. Купив новый телефон я установил приложение вконтакте для андроид и ввел данные для входа в свой аккаунт. После чего в приложении возможно было осуществить поиск друзей по моей телефонной книге, что я и сделал. Моему удивлению не было предела когда мне предложили добавить найденных друзей. Их было несколько но суть поиска мне стала ясна и я записал несколько неизвестных мне номеров в телефонную книгу и возобновил поиск. Приложение выдало еще несколько страниц пользователей которых я даже не знал.
Будучи законопослушным пользователем я воспользовался платформой hackerone.com что бы сообщить об уязвимости.
После подачи баг репорта через полтора месяца мне пришел ответ.
Сказать что я был удивлен значило не сказать ничего. Ведь дело в том что 2 найденных наугад пользователя у них явно не мог быть записан номер моего телефона. А так же у некоторых моих друзей которых я нашел при первом поиске не установлено на те��ефоне приложение Вконтакте. На момент когда мне ответили баг уже был пофикшен. После данного инцидента пропало желание как то помогать данной социальной сети.
UPD: 24.05.2016 После публикации получил ответ от службы поддержки.
То есть раскрытие личной информации не считается уязвимостью.
