こんにちは、Habr!
電話番号で特定のソーシャルネットワーク上のユーザーのページを特定できるVKontakteの脆弱性を見つけたときの話をしたいと思います。
それはすべて新しい電話の購入から始まりました。 新しい携帯電話を購入した後、Android用のVKontakteアプリケーションをインストールし、データを入力してアカウントを入力しました。 その後、アプリケーションで、電話帳で友達を検索することができました。 友人を追加するよう招待されたとき、私は驚きました。 それらのいくつかがありましたが、検索の本質は私に明らかになりました、そして、私は電話帳にいくつかの未知の数を書き留めて、検索を再開しました。 アプリケーションは、私が知らないユーザーのページをさらにいくつか生成しました。
法律を守るユーザーとして、hackerone.comプラットフォームを使用して脆弱性を報告しました。
バグレポートを提出してから1か月半後、私は回答を受け取りました。
私が驚いたと言うことは、何も言わないことでした。 結局のところ、2人のランダムに見つかったユーザーが、明らかに私の電話番号を記録できなかったという事実です。 また、最初の検索で見つけた友人の中には、携帯電話にVkontakteアプリケーションがありませんでした。 彼らが私に答えたとき、バグはすでに修正されていました。 この事件の後、このソーシャルネットワークをどうにかして助けたいという欲求は消えました。
UPD:05.24.2016公開後、サポートサービスから応答がありました。
つまり、個人情報の開示は脆弱性とはみなされません。