Как стать автором
Обновить

Еще раз о приватности в Вконтакте

Уровень сложностиПростой
Время на прочтение1 мин
Количество просмотров45K
Короткий пост для тех кто никогда не задумывался о том какие разрешения стоит предоставлять сторонним сервисам при аутентификации с учетными данными, например, Вконтакте.

В чем тут может быть подвох?

Допустим вы используете Findface для поиска человека по фото, вы авторизуетесь и приложение у вас запрашивает доступ к следующей информации:



Все отлично думаете вы, наверное, доступ к вашим фото нужен чтобы найти другого человека. Довольное странное предположение.

Итак получив токен доступа, владелец сервиса имеет некоторое время на то чтобы скачать все ваши фотографии, особенно из тех альбомов, что помечены так:

"privacy_view": ["only_me"],
"privacy_comment": ["only_me"]

Т.е. не только этих:

"privacy_view": ["all"],
"privacy_comment": ["all"]

Убедиться в этом вы можете просто выполнив 2 запроса: этот, а затем подставив нужный идентификатор альбома этот — вы успешно расшарили прямые ссылки на фотографии в закрытых альбомах.

Выводы:

  1. Неопределенные лица получают доступ к вашим самым персональным из персональных данных, причем Вконтакте никак об этом не акцентирует
  2. #TheFappening не за горами, если владелец одного из подобных приложений промышляет подобным
  3. Перед предоставлением разрешений приложению, автором которого вы не являетесь, подумайте трижды
  4. Периодически удаляйте доступы предоставленные приложениям, особенно тем, которым вы предоставили доступ на неограниченное время, чтобы в будущем не случился казус, даже если сейчас ничего критичного в альбоме не храните
  5. Пример с аналогичными доступами оставлю в качестве домашнего задания
Теги:
Хабы:
Всего голосов 43: ↑38 и ↓5+33
Комментарии48

Публикации

Истории

Работа

Ближайшие события

27 августа – 7 октября
Премия digital-кейсов «Проксима»
МоскваОнлайн
14 сентября
Конференция Practical ML Conf
МоскваОнлайн
19 сентября
CDI Conf 2024
Москва
20 – 22 сентября
BCI Hack Moscow
Москва
24 сентября
Конференция Fin.Bot 2024
МоскваОнлайн
25 сентября
Конференция Yandex Scale 2024
МоскваОнлайн
28 – 29 сентября
Конференция E-CODE
МоскваОнлайн
28 сентября – 5 октября
О! Хакатон
Онлайн
30 сентября – 1 октября
Конференция фронтенд-разработчиков FrontendConf 2024
МоскваОнлайн
3 – 18 октября
Kokoc Hackathon 2024
Онлайн