Администраторы групп в vk всегда были в открытом доступе

Ранее я уже писал один пост на geektimes о том, что истинно анонимных пабликов в ВК не было до 29.10.14. Но как оказалось, я ошибался на счет даты. И не до конца осознал всю суть существующей проблемы анонимности.

Большинство пользователей социальной сети «ВКонтакте» знакомы с принципом работы групп и публичных страниц. Имеется один создатель, модераторы и подписчики. В зависимости от настроек, некоторые из них имеют возможность размещать собственные публикации в ленте сообщества. Логично, что сервера будут хранить данные о каждом кто учавствовал при выкладывании сообщения. Самая длинная цепочка состоит из двух элементов: пользователь написавший сообщение в блок «предложить новость» и модератор, чьей рукой было поставленно подтверждение. Исходя из этого, можно предположить, что эти данные могут быть получены через api.

Обратившись к документации легко выяснить, что большинство методов связанных с общедоступными объектами (публикации на стене, фотографии, документы, ...) в ответе возвращают результат запроса и два дополнительных массива (если при запросе указать extend=true):

response: {
  items: [],
  profiles: [{
    id: 1,
    first_name: 'Pavel',
    last_name: 'Durov',
    sex: 2,
    screen_name: 'durov',
    photo_50: 'http://cs629231.v...543/FfB--bOEVOY.jpg',
    photo_100: 'http://cs629231.v...542/fcMCbfjDsv0.jpg',
    online: 0
  }],
  groups: []
}

По названиям массивов понятно, что они должны содержать и для чего нужны. При запросе какого-либо сообщения со стены сообщества, мы получим само сообщение, пользователя, который его написал (+ модератор), и объект самой группы. Всё предельно просто и прозрачно. Но во многих сообществах есть понятие анонимности. Например, группы в которых люди рассказывают о своих жизненных взгодах и невзгодах, через функционал «предложить новость» с пометкой «анонимно». Модератор, перед публикацией поста, снимет галочку с соответсвующего чекбокса и аккаунт истинного автора не отобразится нигде. Или же публицист, желающий оставаться в тени и не раскрывать личности, в настройках своей публичной страницы уберёт все ссылки и отметки о создателе.

В первый раз я столкнулся с тем, что тот самый простейший запрос wall.get возвращает в списке пользователей человека из первого примера. Об этом я писал(ссылка в шапке). И вот, по прошествии двух лет я в очередной раз просто обратился к документации из интереса. На этот раз я смотрел метод newsfeed.getComments без каких-либо злых намерений. Этот метод возвращает посты в которых текущий пользователь оставил комментарий или иным образом подписался на уведомления(раздел «Мои новости -> Комментарии»). Получив необходимые мне результаты я обратил внимание на то, что в ответе сервера в злополучном массиве profiles лежит 5 аккаунтов. Зачем они нужны и откуда они берутся следовало немедленно выяснить. Для тестов я брал анонимную группу своего города, оставлял комментарий под последним постом и смотрел на ответ сервера, по запросу к этому методу.

Оказалось, что каждый из этих пользователей имел непосредственное отношение к посту. Первым был тот, кто опубликовал новость, то есть человек с правами не ниже модератора, вторым был тот, кто «предложил новость», если он вообще был, и оставшиеся трое — последние прокомментировавшие запись. После проверки на тех группах, в которых все эти данные были «скрыты» настройками приватности, всё лишь подтвердилось. Всё именно так и было: всё, что скрывалось настройками приватности, было достпуно тремя кликами.

Первое, что я возжелал сделать — сообщить об этом недоразумении в баг-трекер ресурса. Где меня встретила лента обрабатываемых в данный момент ошибок связанных с мелкими недочетами a'la «у вас косяк с вёрсткой, два пикселя лишние». Спустя десять минут поиска я отчаялся самостоятельно найти кнопку «сообщить о дыре в безопасности размером с ангар для боинга об ошибке». Ребята с форумов предлагали запускать форму через веб-консоль, но эта форма не отправляла данных ссылаясь на access denied. Обращаться в обычную техподдержку из-за прошлого раза не хотелось, тем более, что во время тестирования new.vk.com там отвечают по 2-3 дня. Поэтому я решил написать тому, кому, как я думал, это будет интересно, тем самым привлечь внимание на ошибку. Выбор пал на vc.ru, как на самый доступный в плане общения — у них все кнопки на сайте на месте. Тем более, что в памяти всплыла старая публикация о парне, который получил денежное вознаграждение за то, что смог узнать администратора группы через ссылку на репост.

Пока ждал от них ответа, исследовал все возможные вариации использования метода. Ограничения всё же имелись, это то, что узнать этих пользователей можно было только в том случае, если запись лежит на стене сообщества, в сообществе разрешены комментарии. Именно это ограничение и помешало мне доказать кому-то из vc, что я не просто выдумываю кто какую группу модерирует. Они попросили сказать, кто админ их группы, а у них комментарии отключены. Я просто стал заваливать их списком модераторов известных новостных сообществ: «Первый канал», «РБК», «Известия» и прочие. Попутно в свою группу без подписчиков скидывал те же ссылки, чтобы не утерять вместе с перепиской и похвастать всем своим двум друзьям. Не учел того факта, что ссылки в постах группы имеют свойство оповещать отмеченных в них людей. И мне написал один из упомянутых модераторов с просьбой рассказать как я этого добился. Я темнил до последнего, ожидая, что vc хоть как-то поможет с закрытием дыры. Через два часа из vc мне сказали, что они сообщили в вк, а сами ничего делать не будут.

Итог: мой аккаунт со всеми контактами, портфолио, коллекцией музыки, заметками и закладками канули в небытие с подписью «заблокирован навсегда». Мои группы удалили, записи потерли, дыру закрыли кардинально, в profiles теперь вообще ничего не выводится. Единственное, что у меня осталось от этого случая — нежелание сообщать о таком вообще кого-либо.
Поделиться публикацией
Комментарии 70
    +15
    Для сообщения о багах есть ресурсы типа hackerone.
      +4
      Более того, VK представлен на hackerone
        +3
        Я им туда как-то написал, что можно участвовать в опросах закрытых групп, если зайти через приложение (веб-интерфейс говорит access denied, т.е. закрыто на уровне интерфейса, а не на уровне API). Они ответили, что так и задумано (три ха-ха).
          +4
          Вам они хоть ответили, у некоторых и вот так бывает (теги не работают, прошу прощения за ссылки):

          habrastorage.org/files/a1a/b7d/655/a1ab7d655d59484fbb77bf1cb59c7d7c.png
          habrastorage.org/files/db4/c27/fc4/db4c27fc456849e68484483ccb8b67be.jpg
          +4
          Ну как бы там ни было — если есть точка входа для bug bounty, корректно пользоваться ей. Иначе можно дойти логикой и до ситуации «я багрепорт написал на пакете, навалил в него кучу, принес к дому Зингера и поджег — пусть знают, как не реагировать на hackerone».
        +1
        Их кампания на Hackerone — «для технических уязвимостей». Только суппорт, ситуация с которым в статье упоминается.
        +58
        Итог: мой аккаунт со всеми контактами, портфолио, коллекцией музыки, заметками и закладками канули в небытие с подписью «заблокирован навсегда». Мои группы удалили, записи потерли, дыру закрыли кардинально, в profiles теперь вообще ничего не выводится. Единственное, что у меня осталось от этого случая — нежелание сообщать о таком вообще кого-либо.


        Так как материться на Хабре нельзя, то без комментариев…
          +28
          Добро пожаловать к Mail Group
            0
            Не понимаю почему люди работают там, почему эта контора не закроется от неквалифицированных кадров, ведь квалифицированные должны уважать себя и работать в другом месте.
          +28
          У нас в городе прохожие засняли на камеру как неправильно паркуется оператор парковки и предъявили видео. В итоге прохожих оштрафовали за выход на проезжую часть, которые чуть вышли, чтобы сделать запись. Вот так вот.
            +7
            А надо было ещё за то, что покинули место ДТП. Гуманность, видите?
              +5
              Если оштрафовали и парковщика, то это нормально — так и должно быть в правовом государстве.
                +8
                Есть отличный лайфхак, как избежать подобного штрафа, я всегда им пользуюсь: не надо выходить на проезжую часть, если там нет пешеходного перехода. Оштрафовать в подобной ситуации необходимо обоих: и горе-парковщика, и горе-оператора.
                  +16
                  В некоторых маленьких городах вы умрёте от голода, гуляя только по своему кварталу.
                    +3
                    Если память не врёт, то в случае, если пешеходных переходов поблизости нет, можно выходить на проезжую часть, посмотрев по сторонам и убедившись, что навстречу мне не несётся Кармагеддонщик, задача которого меня сбить. Но только в случае отсутствия пешеходных переходов.
                      +4
                      Пешеходными переходами являются продолжения тротуаров на перекрестках, если нет явно отмеченных переходных переходов.
                        0
                        Нет такого пункта в ПДД
                          0
                          ниже ссылка на пункт в пдд
                            0
                            Продолжения тротуаров не являются пешеходными переходами, как бы то ни было)) Там почти в явном виде это пишут: «при их (переходов) отсутствии». Просто место, где можно переходить. И даже более того: «должны», т.е. в обязательном порядке, шаг влево, шаг вправо — штраф-с… И главное отличие от перехода — приоритет всё-таки у водителя, если он не заруливает с параллельной вам дороги — для них отдельный пункт, они проезжают последними.
                              –1
                              >> при их отсутствии — на перекрестках по линии тротуаров или обочин
                              Вот это и есть продолжение тротуаров, что вы к словам придираетесь? Общий смысл ясен, точен, на академическую точность цитат я не претендую.
                                0
                                Я так понял, что общий смысл нарушен в том месте, где говорится о приоритетах. На переходе он у пешехода, при пересечении дороги на перекрёстке при отсутствии перехода — у водителей.
                      +3
                      ПДД предусматривают переход проезжей части при отсутствии пешеходных переходов поблизости.
                        +2

                        В ПДД есть такая штука, как п. 4.3
                        Вот он с комментариями ГИБДД.
                        http://www.gibdd.ru/docs/pdd/pdd-4/67921/
                        Пешеходы должны пересекать проезжую часть по пешеходным переходам, в том числе по подземным и надземным 1, а при их отсутствии — на перекрестках по линии тротуаров или обочин 2. При отсутствии в зоне видимости перехода или перекрестка разрешается переходить дорогу под прямым углом к краю проезжей части на участках без разделительной полосы и ограждений там, где она хорошо просматривается в обе стороны


                        То есть помимо разметки и знаков есть два варианта перейти дорогу
                        1) По линии тротуаров или обочин (фактически любой X обрыхный перекресток, где есть тротуары, или Т образный частично)
                        2) Перпендикулярно дороге если нет разделительной полосы или ограждения (МКАД например нельзя).

                          –1
                          Там еще вроде фигурирует: «не создавая помех транспорту».
                          пс: извиняюсь за некропост.
                            –1
                            Не фигурирует. Да и исходя из банальной логики — пешеходный переход дает приоритет пешеходу над транспортом. Варианты указанные в ПДД это варианты пешеходного перехода без знаков и они дают точно такие же права.
                            На самом деле сделано это для банальной экономии. Зачем размечать и ставить знаки на перекрестке, где проезжает 5 машин в год?
                            Зачем ставить пешеходные переходы со знаками и разметкой на дороге в 40 километров по полям?
                              –1
                              Зебра и обозначенный пешеходный переход дает преимущество пешеходу, еще у пешехода преимущество если ТС совершает поворот на перекрестке
                              8.3. При выезде на дорогу с прилегающей территории водитель должен уступить дорогу транспортным средствам и пешеходам, движущимся по ней, а при съезде с дороги — пешеходам и велосипедистам, путь движения которых он пересекает.
                              13.1. При повороте направо или налево водитель обязан уступить дорогу пешеходам и велосипедистам, пересекающим проезжую часть дороги, на которую он поворачивает.

                              на котором нет зебры, светофора или знаков обозначающих переход. в остальном надо руководствоваться:
                              4.5. На нерегулируемых пешеходных переходах пешеходы могут выходить на проезжую часть (трамвайные пути) после того, как оценят расстояние до приближающихся транспортных средств, их скорость и убедятся, что переход будет для них безопасен. При переходе дороги вне пешеходного перехода пешеходы, кроме того, не должны создавать помех для движения транспортных средств и выходить из-за стоящего транспортного средства или иного препятствия, ограничивающего обзорность, не убедившись в отсутствии приближающихся транспортных средств.

                              просто рекомендуется переходить дорогу в районе перекрестка, но если перекрестка не видно то главное «не создавать помех».
                        0
                        ПДД, пункт 4.3:

                        "… При отсутствии в зоне видимости перехода или перекрестка разрешается переходить дорогу под прямым углом к краю проезжей части на участках без разделительной полосы и ограждений там, где она хорошо просматривается в обе стороны. ..."

                        https://www.consultant.ru/document/cons_doc_LAW_2709/1736bcf22f8e05f9d3db535f6d084651bad887a4/

                        (не обновил комментарии в висевшей вкладке, уже упомянули этот пункт)
                      +19
                      Т. е. вы не стали сообщать в ВК об этой ошибке, а выдали ее какому-то левому ресурсу? И теперь жалуетесь, что ваш профиль заблокировали? Я правильно понимаю?
                        +4
                        «Цукерберг позвонит» не совсем левый ресурс по отношениям с вк
                        0
                        Этот метод возвращает посты в которых текущий пользователь оставил комментарий или иным образом подписался на уведомления

                        Не совсем понятно, как этот метод срабатывал для постов, в которых отключены комментарии? Или подписаться на уведомления можно, нажав «Мне нравится»?
                          +1
                          Ограничения всё же имелись, это то, что узнать этих пользователей можно было только в том случае, если запись лежит на стене сообщества, в сообществе разрешены комментарии.

                          По моему трактуется это однозначно — дыра была доступна только при этих, не самых редких условиях.
                            0
                            Действительно, пропустил вторую часть фразы, прошу прощения.
                          +4
                          Очень глупо было «ломать» со своего основного аккаунта. Ну и вообще заниматься пентестом сайтов с российскими владельцами занятие весьма рискованное, вполне реально нарваться на неадекватов которые вместо спасибо или награды за баг, сообщат о вас в органы и подадут иск за взлом.
                            +10
                            Откровенно говоря, это относится не только к РФ.
                              +1
                              на неадекватов которые вместо спасибо или награды за баг, сообщат о вас в органы и подадут иск за взлом


                              — Вы обвиняетесь в намеренном взломе системы безопасности и вмешательстве в частную жизнь по средству созданию сайта Facemash. Прежде чем начать слушание Вы можете сделать заявление.
                              — Я… На мой взгляд я заслуживаю поощрения, ведь выявил слабые места в системе безопасности.
                              © Фильм «Социальная сеть»
                                +2
                                Это ещё что — я как-то заметил, что сайт одной из местных газет не работает. Оказалось — забыли (забили?) продлить. Думал, к концу срока всё-таки заплатят за продление домена — но нет, домен удалили после окончания регистрации. Я его выкупил, поставил маленькую страничку-загрушку, и написал им письмо, что, мол, если нет возможности содержать сайт, то я за вас это сделаю, и предоставлю полный доступ к хостингу. Знаете что ответили? — Оказывается, я негодяй, и незаконно использовал их логотип в своих целях, и даже привели статью, по которой якобы меня привлекут. Однако я не ИП и никаких денег не заработал на этом сайте, и даже если бы как-то заработал, то не в той же области деятельности (я и не собирался самостоятельно размещать их статьи из газеты, только если они сами бы стали это делать) — так что ничего не вышло бы у них.
                                Правильно говорят — от добра добра не ищут.

                                P.S. и что теперь с этим доменом делать?
                                  +1

                                  Подождать 2-3 месяца и продать дальше.

                                +6
                                Ну ВК в этом случае повел себя очень некрасиво. Может после поста этого отреагируют…
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    Автор повёл себя не менее некрасиво. Если посмотреть на ситуацию с точки зрения ВК, то их ответ покажется, может быть, несимметричным, но резонным.
                                      0
                                      Впрочем ничего нового, помнится и раньше были такие случаи
                                      +16
                                      https://hackerone.com/vkcom
                                      http://vk.com/support?act=new
                                      Почему нельзя было выбрать ничего из этого?

                                      Кстати, скорость ответа очень зависит от типа вопроса. На некоторые вопросы я получаю ответ в течение часа, на другие несколько дней.

                                      А vc.ru имеет отношение к ВК из-за бывших учредителей и сотрудников.
                                      Впрочем, как Selectel, но это не мешало отменить субсидию на разработчиков.
                                        0
                                        >http://vk.com/support?act=new
                                        Где можно найти эту ссылку? Вот только что вот прямо пытался сообщить о мелком косяке. Единственное что нашёл — багтрекер, где можно всё имеющееся посмотреть, но не добавить.
                                          0
                                          Стоп, это ж не ссылка на создание бага в трекере. это ж просто вопрос саппорту.
                                          –3
                                          Не нужно вообще что либо сообщать, последствия всегда бывают, и не зависит, сделал ты хорошо или плохо
                                          всех багоюзеров, когда либо зарегестрированных в вк удаляли
                                          куча страниц с безымянками, на всей странице и пр были удалены
                                          Если только анонимно об этом сообщать
                                          Награды не получишь, всю славу заберут сотрудники вк.
                                            +6
                                            Репортил похожую уязвимость на hackerone, ответа ждал полгода, но в итоге её пофиксили, а мне выплатили вознаграждение, поэтому виноват здесь исключительно автор поста.
                                              +2
                                              «заблокирован навсегда»

                                              Не ты первый, не ты последний бан всегда дают «за эксплуатирование уязвимости».
                                                +1
                                                А как можно найти дырку не эксплуатируя её?
                                                  0
                                                  Эксплуатировать на своих аккаунтах, например.
                                                    0
                                                    А разве можно больше одного аккаунта заводить?
                                                +11
                                                А зачем вы «исследовали» дыру, упоминая админов на стене своего паблика?
                                                  +4
                                                  Ну вот как всегда, человек старался, искал разные способы рассказать администрации ресурса о проблеме, не раскрывал суть бага до его закрытие, а что в награду? «мой аккаунт со всеми контактами, портфолио, коллекцией музыки, заметками и закладками канули в небытие с подписью «заблокирован навсегда»». Обидно!

                                                  Как то пытались получить объяснения от ТП о причине блокировки страницы?
                                                    +3
                                                    Итог: мой аккаунт со всеми контактами, портфолио, коллекцией музыки, заметками и закладками канули в небытие с подписью «заблокирован навсегда». Мои группы удалили, записи потерли, дыру закрыли кардинально, в profiles теперь вообще ничего не выводится. Единственное, что у меня осталось от этого случая — нежелание сообщать о таком вообще кого-либо.
                                                    Сами себе могилу роют.
                                                      +9
                                                      Почему не воспользовались баг-баунти программой? (тыц).

                                                      Ваше поведение совсем не похоже на «этичный хакинг».

                                                      Эксплуатация уязвимости в отношении третьих лиц:
                                                      Я просто стал заваливать их списком модераторов известных новостных сообществ: «Первый канал», «РБК», «Известия» и прочие.

                                                      Разглашение сведений о выявленной уязвимости:
                                                      Поэтому я решил написать тому, кому, как я думал, это будет интересно, тем самым привлечь внимание на ошибку.

                                                      Меры, принятые по отношению к вам, адекватны на все 100%.
                                                        +10
                                                        Свой косяк о том, что не сообщил на hackerOne я признаю. Меня закидают тухлыми помидорами за минимальное знание английского языка, я честно пытался описать эту ошибку туда, но в первом же блоке не смог выбрать подходящий тип.

                                                        Меры пресечения были использованы верно, тоже не спорю. Но заблокировали меня не за распространение «закрытой» информации, а за то, что пользователи увидели отметку у себя в «Мои ответы» и нажимали кнопочку «спам».

                                                        Ещё момент, на моей заблокированной странице высветилось сообщение о том, что если я желаю оспорить поведение модераторов, то пишите в тех. поддержку с этой страницы, а там меня встретило оповещение, что я исчерпал лимит обращений в поддержку, когда отправлял сообщение о баге в вёрстке.
                                                          +2
                                                          То есть вас заблокировали даже не за эксплуатацию бага и раскрытие его третьему лицу вместо официальной техподдержки, а из-за сообщений о спаме? К чему вы вообще городите все это? Пытаетесь показать, что ВК такой плохой?
                                                            +5
                                                            Откуда информация, что именно за это заблокировали? Мне кажется, посты с глупостью и негативом получают сотню-другую нажатий кнопки «спам», не думаю, что кто-то от этого в бан улетает, это всё в итоге модерируется.

                                                            Всё же ваше поведение при обнаружении бага было крайне неверным. Публикация анонимной информации в нарушение условий пользования сервисом. Меня даже поражает количество комментариев, где считают, что администрация vk не права. Найденная уязвимость эксплуатировалась самым злостным образом (пусть и без злого умысла). Это как переводить деньги в банке на случайные счета со случайных счетов, найдя уязвимость.
                                                              –1
                                                              Были раньше проблемы с этим, когда узнал, что публикации в группах позволяют отметить любого человека, а ссылку скрыть символом пробела нулевой длины. Если отметить в одном посте 5-6 человек и 2-3 человека нажмут на «спам», то прилетит бан. Отсюда и информация,
                                                              Уязвимость напрямую я не эксплуатировал. Найденную информацию знал только я, один человек из vc.ru, которому я показывал суть проблемы и два человека из моего пустого паблика. Единственный человек, кого я реально «разоблачил» — на своей стене написал «Привет модератору MDK», там какой-то фейковый аккаунт был.
                                                                +4
                                                                К сожалению, вы тут лукавите, когда говорите, что только одного человека «разоблачили». Я насчитал 18 человек.
                                                                  +5
                                                                  Ну всё же разместить на публичной странице (как и на своём сайте, например) есть опубликовать. И то что «зуб даю, никто не заходил туда» и «только эти два человека которые никому не расскажут» не является оправданием этому нарушению.
                                                                  В общем, удачи вам с техподдержкой, может и правда было ложное срабатывание. Но если не выгорит, их действия вполне закономерны, увы.

                                                                  Правильным решением было бы создать (попросить друга) тестовую группу со скрытым админом, показать краткую выжимку из логов запроса/ответа API, раскрывающего личности админа и предложившего новость (тоже друга), демонстрировать всё именно на этом примере. Если вы не хотели раскрывать подробности уязвимости заранее (почему, кстати?), попросить собеседника создать группу с неизвестного вам аккаунта. А ваши маленькие шалости про то, что вы знаете кто админ МДК, оставить глубоко при себе. Тот же FB тоже покарал бы за эксплуатацию уязвимости на реальных аккаунтах, а тем более за публикацию результатов.
                                                                    0
                                                                    Правильно было бы связаться, ответить и разъяснить, а потом уже покарать… аккаунты и группы его они нашли быстро…
                                                                      0
                                                                      Зачем? Когда можно сразу закрыть и не париться?
                                                              0
                                                              VK уже давно тот, что раньше… Например, если раньше нарушение пп. 6.3-6.4 (не помню какие там подпункты) пользовательского соглашения (фейковые имя и фамилия) привдили к однозначной блокировке аккаунта, то сейчас на сообщение администраторам о спаммере под именем Rus -fuckyourass- Gay, например, приводит к встречному вопросу — «ой, а что он такого сделал-то? ну Рус, ну гей, ну фак май эсс и что?»
                                                                0
                                                                это говно меня вообще бесит. сижу вк под именем demon 666 (зарегался лет в 14). Хотел сменить на какое нибудь другое подобное говно — админы не разрешают. там если я пишу не типичное фио по шаблону, то процедура автоматически отправляется на рассмотрение модераторами и они там уже требуют фотку с паспортом чтоб совпадало имя. но если вводить просто Вася Пупкин — без проблем всё поменяется. если регать новый акк — тоже любое говно написать можно.
                                                                0
                                                                То есть автор сам выставил себя идиотом а тут в завуалированной форме пожаловался? Скажите спасибо, что вк не стал привлекать к уголовщине а всего лишь заблокировал аккаунт с группами. То что они долго реагируют на сообщения о багах это отдельная тема. если Вам это не нравится — тоже отдельная. а то, что Вы воспользовались дырой для разоблачения админов и модераторов, и публиковали эти данные в открытом доступе, и тем более обсуждали с третьими лицами, это уже конкретный взлом, и за это полагаются ответные действия. На мой взгляд всё ещё как то мягко разрешилось.
                                                                  +1
                                                                  Сообщать третей стороне об уязвимости не этично и блокировка вполне оправдана. Согласен у VK есть проблемы с быстрым реагированием на подобные проблемы, даже на hackerone (что уже говорить про «баг-трекер ресурса»). Но тем не менее, ребята молодцы, почти все отправленные мной баги они пофиксили и из них около пяти касались приватности закрытых сообществ.
                                                                    0
                                                                    А куда писали? На hacker one?
                                                                    За вознаграждение или просто из любви к ВК?
                                                                      0
                                                                      На hackerone за вознаграждение :)

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                  Самое читаемое