Как школьник нашел уязвимость во «ВКонтакте», заработал 3000 долларов и поступил в ИТМО

Готовясь к ЕГЭ по информатике, 17-летний Илья Глебов нашел во «ВКонтакте» уязвимость. Она позволяла взломать практически любой аккаунт. Глебов получил от социальной сети 2000 долларов и еще тысячу от ICQ, а Университет ИТМО предложил выпускнику особые условия обучения.

«Бумага» узнала у абитуриента, почему он не продал информацию об уязвимости, как планирует распорядиться деньгами и в чем ориентируется на Павла Дурова и Илона Маска.

Илья Глебов

О себе и авторитетах

— Я начал заниматься программированием, когда мне было лет двенадцать, с 2-го класса изучал информатику в школе. Мне это нравилось и приносило какую-то пользу. Я даже не ходил к репетиторам, просто искал самоучители в сети. Так, в 16 я уже занимался чем-то, отдаленно напоминающим фриланс: за небольшое вознаграждение делал сайты-визитки.

В остальном у меня всё обычно: люблю гулять с друзьями, сидеть за компьютером, плавать. Родители меня во всем поддерживают, они никогда не были против моего обучения за компьютером, поэтому всё вышло хорошо. Конечно, за счет этого программирование занимает в моей жизни первое место.

Для себя я вижу всего двух авторитетов: Павла Дурова и Илона Маска. Это очень деятельные люди, которые не боятся рисковать в своем деле. Мне хотелось бы заниматься чем-то схожим.

Свою карьеру я всегда хотел связать с информационной безопасностью. Причем была мечта поступить именно в Петербург. Подавал сразу в пять вузов, но в приоритете держал ИТМО как лучший вуз в IT-сфере. В итоге вышло, что я действительно туда попал, хотя по баллам ЕГЭ бы не прошел: плохо сдал математику.

О том, как нашел уязвимость во «ВКонтакте»

Первые следы еще возможной уязвимости я обнаружил весной 2017 года, готовясь к ЕГЭ по информатике. Тогда я решил отвлечься, почитать и наткнулся на статью годовалой давности об одной уязвимости в «Фейсбуке». Я попробовал сделать нечто похожее во «ВКонтакте», и у меня получилось.

Суть уязвимости состояла в том, что в сервисе Mail.Ru, который с недавнего времени использует VK, был баг в процедуре восстановления страницы. Попросту говоря, если бы кто-то сделал одинаковыми сессии генерации кодов восстановления, как это сделал я, код доступа к аккаунту приходил бы сразу на два телефона. Так, зная телефон человека, можно было бы взломать его страницу.

По моим подсчетам, эта ошибка была во «ВКонтакте» как минимум с ноября 2016 года. Может быть, еще раньше. Нельзя сказать, что о ней никто не знал, но я стал первым, кто написал о ней на [платформе по поиску уязвимостей компаний] HackerOne. Правда, по данным Mail.ru, никто до меня вообще не пользовался этой уязвимостью. На то, чтобы обнаружить ее, у меня в общей сложности ушло часов шесть.

О решении не использовать уязвимость для заработка

Я даже и не думал о том, чтобы продать данные об этой уязвимости куда-либо. На мой взгляд, это просто неправильно, аморально. Практически сразу я написал репорт о ней, не задумываясь, и ошибку исправили.

Если размышлять над тем, что можно было бы сделать (но чего я не стал бы делать), гораздо выгоднее было бы просто взламывать аккаунты за деньги для тех, кто просит. Это были бы минимальные риски, к этому есть спрос. Например, условный парень хочет проверить страницу своей девушки. Он дает тебе ее номер телефона, а ты отдаешь ему страницу. Служба поддержки бы не заметила этого, потому что сочла бы такие одиночные показатели каким-нибудь багом. Правда, рано или поздно из-за этого ко мне бы приехали из ФСБ.

О выплате в 3000 долларов и планах на них

Через несколько дней после моего репорта на HackerOne «ВКонтакте» выплатила мне 2000 долларов. Еще через несколько дней мне написали сотрудники Mail.ru и предложили доплату, так как, оказалось, эта же проблема была в ICQ. За это мне добавили еще 1000 долларов.

Конечно, выплата не такая большая, как хотелось бы. Но у VK вообще нет расценок на обнаружение подобных ошибок, так что без разницы. Конечно, ни на кого зла не держу. Обидно только, что не позвали в офис «ВКонтакте»: я этого ждал.

Я решил, что получу деньги, только когда мне исполнится 18. Дело в том, что единственный вариант вывести средства сейчас — это получить их в биткоинах. А у биткоина сейчас дико скачет курс, поэтому я дождусь совершеннолетия, чтобы получить их на PayPal.

Вообще, денег не так много, поэтому, возможно, и после 18 лет я продолжу их копить. Скорее всего, потрачу их гораздо позже, в будущем, когда уже окончу вуз: их можно было бы вложить в создание собственного дела или на аренду квартиры.

О поступлении в ИТМО и будущем

С университетом всё решилось позже: 9 июля на «Хабре» (коллективном блоге для программистов — прим. «Бумаги») я опубликовал подробное описание хода своей работы над поиском уязвимости. На следующий день, 10 июля, со мной связались из ИТМО. Они приглашали меня на тестирование, чтобы проверить уровень моих знаний. Там со мной и моей мамой провели интервью, а чуть позже со мной поговорил декан факультета информационной безопасности [и компьютерных технологий Даниил Заколдаев].

По идее, это была проверка, но достаточно легкая. Меня спросили, почему я сдал математику всего на 62 баллов, к чему я стремлюсь и чего хочу достичь, расспросили про уязвимость «ВКонтакте». В итоге пригласили на обучение за счет вуза, предупредив, что учиться будет сложно. Конечно, я согласился.

После окончания вуза я хочу сначала поработать в компании информационной безопасности или на должности специалиста безопасности, например, в том же самом «ВКонтакте». Мне нравится этим заниматься: тестировать, находить какие-то баги. Это весело, и я продолжу этим заниматься.

Фото на обложке: ИТМО

ГЛАВНЫЕ НОВОСТИ

Спасибо!

Теперь редакторы в курсе.