Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя

[gospodinmir]

Скромное баунти какое-то для такой уязвимости.

[spmbt]

Сколько экзаменов пострадало?

[YRashid]

Немного досталось философии.

[Disbalance]

Сколько удачных фотографий однокурсниц удалось достать?

[YRashid]

Мои однокурсницы сами кого угодно хакнут.
На самом деле, для эксплуатации нужно наплодить много аккаунтов/приложений для параллельного перебора. Поэтому до применения на практике не дошло.

[Core2Duo]

P.S.: тем, кто впервые пытается вывести вознаграждение с hackerone.com на новый аккаунт paypal — советую внимательно прочитать условия. Paypal при переводе средств, может без вашего согласия конвертнуть вознаграждение в валюту страны указанной в вашем профиле.

Столкнулся с такой же проблемой, причем в currencies у меня были только доллары и они же стояли валютой по умолчанию, т.е. рублей там не было в принципе. И все равно, при переводе на paypal долларовой суммы, она конвертировалась в рубли. После обращения в саппорт выяснилось, что нужно пройти верификацию (привязать карту, подтвердить ее, отправить паспортные данные + скан паспорта). После этого валюта перестала автоматически конвертироваться.