Двое исследователей безопасности Артем Дизычев и Олег Варнов нашли в соцсети "ВКонтакте" CSRF-уязвимость, которая позволяла выполнять практически любые действия от лица любого пользователя. Об этом сообщили украинские СМИ. "Мы бы могли спокойно рассылать заявки в друзья, переводить себе голоса или более того могли бы и Дурова зацепить. Можно было рассылать сообщения от лица Дурова другим пользователям. Нo из-за свой доброты, наверное, мы решили все рассказать Андрею Рогозову", — сообщают хакеры. После уведомления соцсеть сразу устранила уязвимость. За проделанную работу начальник отдела разработки соцсети Андрей Рогозов выдал хакерам по 11 тыс. голосов (внутренняя валюта "ВКонтакте", что составляет около 77 тыс. рублей на человека или $5 тыс. на двоих). Как сообщил Рогозов, внутреннюю валюту соцсети можно вывести через платежную систему.
Источник