Школьник, готовясь к ЕГЭ, нашел уязвимость во «ВКонтакте» и получил $3000

Школьник из Мончегорска Илья Глебов получил от «ВКонтакте» и ICQ $3000 за уязвимость в соцсети, которую нашел при подготовке к ЕГЭ по информатике.

По словам Глебова, он прочитал новость об аналогичной уязвимости в Facebook в 2016 году, а между стандартными задачками на ЕГЭ по информатике решил проверить ее во «ВКонтакте», так как «чем хуже» российская соцсеть.

«Эту задачу я делал где-то в течение двух дней, хотя по общему времени она заняла часа четыре. Уязвимость заключалась в том, что там есть сессия, и по этой сессии генерируется код восстановления, который отправляется на телефон. Но никто не предполагал, что сессии могут быть одинаковыми. Я же сделал так, что сессии были действительно одинаковые: то есть одинаковый код можно отправить на разные телефоны, – приводятся слова Глебова в интервью. – Сразу после обнаружения я написал репорт на HackerOne. Уже через 17 часов уязвимость была устранена».

По его словам, уязвимость позволяла взломать большинство аккаунтов в социальной сети за исключением аккаунтов с двухфакторной авторизацией.

Через несколько дней Илье поступила благодарность от «ВКонтакте» в размере $2000. Позже такая же уязвимость была обнаружена в мессенджере ICQ, и школьнику доплатили еще тысячу долларов.

Статью с подробным описанием уязвимости Глебов опубликовал на платформе блогов «Хабрахабр».

О талантливом школьнике узнал декан факультета информационной безопасности и компьютерных технологий ИТМО Данил Заколдаев, который по результатам собеседования с Глебовым предложил ему бесплатное обучение по образовательной программе «Технологии защиты информации».