Школьник из Мончегорска обнаружил критическую уязвимость во ВКонтакте, пока готовился к ЕГЭ
За это соцсеть заплатила ему 2 тысячи долларов, а университет ИТМО позвал на бесплатное обучение.

Во время подготовки к ЕГЭ по информатике, 17-летний Илья Глебов случайно обнаружил уязвимость во ВКонтакте и мессенджере ICQ, которая позволяла получить доступ к любому аккаунту без двухфакторного входа. Он сообщил о проблеме разработчикам и сначала получил 3 тысячи долларов (около 176 тысяч рублей), а затем место в университете ИТМО. Об этом сообщает портал вуза ITMO.NEWS.

По словам Глебова, он был занят подготовкой к экзамену по информатике, когда наткнулся на статью 2016 года, в которой говорилось, как взламывать профили на Facebook.

Илья Глебов
Всё произошло, когда я готовился к ЕГЭ по информатике. Там была задача под номером 27. В ней было очень много параметров, надо было пробовать, перебирать. И мне так надоело это делать, что я просто решил отвлечься и что-нибудь почитать. Наткнулся на статью об уязвимости в Facebook и решил попробовать этот способ на ВК.

Суть уязвимости на Facebook сводилась к перебору кодов восстановления на тестовом домене соцсети. Глебов из любопытства решил попробовать этот же метод во ВКонтакте. Найденная уязвимость работала с большинством страниц российской соцсети. Исключение составляли лишь те пользователи, которые настроили двухфакторную аутентификацию (вход по коду или смс).

Пойти по пути Фейсбука у Глебова не вышло. Суть уязвимости, которую он нашёл во ВКонтакте, сводилась к тому, что соцсеть давала за одну сессию восстановления пароля отправлять смс с кодами на любые номера. Таким образом один пользователь мог получить доступ к странице любого другого пользователя, если знал номер телефона, привязанный к профилю. Один и тот же код приходил на разные телефонные номера.

Для обнаружения уязвимости Глебову пришлось сделать реверс-инжиниринг приложения ВКонтакте для Android, написать небольшую программу на Cизучить HTTP-запросы, которыми обмениваются мобильный клиент и сервера соцсети.

По словам тинейджера, сразу после обнаружения уязвимости он сообщил об этом разработчикам через платформу для поиска багов HackerOne. Спустя 17 часов проблему устранили, а через несколько дней ВКонтакте выплатила Глебову 2 тысячи долларов.

На этом он не остановился и протестировал на ту же уязвимость мессенджер ICQ там она тоже сработала. За сообщение об этом ему доплатили ещё тысячу долларов.

Илья Глебов
Эту задачу я делал где-то в течение двух дней, хотя по общему времени она заняла часа четыре. Я примерно знаю, как работает ВКонтакте, поэтому проверить эту мысль было достаточно просто. Хотя это, конечно, не первый раз, когда я пытался проверить что-либо на уязвимость. На HackerOne есть несколько отчетов.

По словам Глебова, ещё до способа взлома аккаунтов через смс-коды, он нашёл другую уязвимость во ВКонтакте, которая касается приватных данных, но пока не может сообщить о ней подробности.

В разговоре с ITMO.NEWS молодой человек рассказал, что пока не собирается тратить заработанные деньги, потому что до 18 лет не сможет зарегистрировать себе Paypal-аккаунт.

В итоге ЕГЭ по информатике Глебов написал на 97 баллов, а остальные предметы не так успешно. По его словам, в экзамене по математике он сделал глупые ошибки. Весной Глебов закончил гимназию в Мончегорске небольшом городе Мурманской области с населением около 40 тысяч человек.

На вопрос о том, на кого он равняется и куда будет поступать, Глебов ответил, что ему по многим вопросам близка позиция Павла Дурова, а свою жизнь он хочет связать с информационной безопасностью.

Илья Глебов
Я просто хочу, чтобы информация людей была хорошо защищена, чтобы не случалось хакерских атак, да и в целом чтобы люди спали спокойно. Документы я подавал в пять разных вузов, но приоритетом является Университет ИТМО, потому что это действительно один из сильнейших IT-вузов. Хотелось бы пройти, но посмотрим, как получится.

После интервью с ITMO.NEWS, Глебов встретился с деканом факультета информационной безопасности и компьютерных технологий ИТМО Данилом Заколдаевым. Тинейджер успешно прошёл собеседование и проверку знаний, после чего ему предложили обучаться в университете на бюджетной основе по программе Технологии защиты информации.

В университете рассчитывают, что Глебов выдержит нагрузку в первый год обучения и сможет раскрыть свои таланты в области информационной безопасности. Как сообщил Заколдаев, внимание на тинейджера ИТМО обратил после публикации на серьёзном интернет-ресурсе, где специалисты в области IT общаются и делятся опытом.