24 июля 2017

Как школьник нашел уязвимость во «ВКонтакте», заработал 3000 долларов и поступил в ИТМО

Готовясь к ЕГЭ по информатике, 17-летний Илья Глебов нашел во «ВКонтакте» уязвимость. Она позволяла взломать практически любой аккаунт. Глебов получил от социальной сети 2000 долларов и еще тысячу от ICQ, а Университет ИТМО предложил выпускнику особые условия обучения.

«Бумага» узнала у абитуриента, почему он не продал информацию об уязвимости, как планирует распорядиться деньгами и в чем ориентируется на Павла Дурова и Илона Маска.

Илья Глебов

О себе и авторитетах

— Я начал заниматься программированием, когда мне было лет двенадцать, с 2-го класса изучал информатику в школе. Мне это нравилось и приносило какую-то пользу. Я даже не ходил к репетиторам, просто искал самоучители в сети. Так, в 16 я уже занимался чем-то, отдаленно напоминающим фриланс: за небольшое вознаграждение делал сайты-визитки.

В остальном у меня всё обычно: люблю гулять с друзьями, сидеть за компьютером, плавать. Родители меня во всем поддерживают, они никогда не были против моего обучения за компьютером, поэтому всё вышло хорошо. Конечно, за счет этого программирование занимает в моей жизни первое место.

Для себя я вижу всего двух авторитетов: Павла Дурова и Илона Маска. Это очень деятельные люди, которые не боятся рисковать в своем деле. Мне хотелось бы заниматься чем-то схожим.

Свою карьеру я всегда хотел связать с информационной безопасностью. Причем была мечта поступить именно в Петербург. Подавал сразу в пять вузов, но в приоритете держал ИТМО как лучший вуз в IT-сфере. В итоге вышло, что я действительно туда попал, хотя по баллам ЕГЭ бы не прошел: плохо сдал математику.

О том, как нашел уязвимость во «ВКонтакте»

Первые следы еще возможной уязвимости я обнаружил весной 2017 года, готовясь к ЕГЭ по информатике. Тогда я решил отвлечься, почитать и наткнулся на статью годовалой давности об одной уязвимости в «Фейсбуке». Я попробовал сделать нечто похожее во «ВКонтакте», и у меня получилось.

Суть уязвимости состояла в том, что в сервисе Mail.Ru, который с недавнего времени использует VK, был баг в процедуре восстановления страницы. Попросту говоря, если бы кто-то сделал одинаковыми сессии генерации кодов восстановления, как это сделал я, код доступа к аккаунту приходил бы сразу на два телефона. Так, зная телефон человека, можно было бы взломать его страницу.

По моим подсчетам, эта ошибка была во «ВКонтакте» как минимум с ноября 2016 года. Может быть, еще раньше. Нельзя сказать, что о ней никто не знал, но я стал первым, кто написал о ней на [платформе по поиску уязвимостей компаний] HackerOne. Правда, по данным Mail.ru, никто до меня вообще не пользовался этой уязвимостью. На то, чтобы обнаружить ее, у меня в общей сложности ушло часов шесть.

О решении не использовать уязвимость для заработка

Я даже и не думал о том, чтобы продать данные об этой уязвимости куда-либо. На мой взгляд, это просто неправильно, аморально. Практически сразу я написал репорт о ней, не задумываясь, и ошибку исправили.

Если размышлять над тем, что можно было бы сделать (но чего я не стал бы делать), гораздо выгоднее было бы просто взламывать аккаунты за деньги для тех, кто просит. Это были бы минимальные риски, к этому есть спрос. Например, условный парень хочет проверить страницу своей девушки. Он дает тебе ее номер телефона, а ты отдаешь ему страницу. Служба поддержки бы не заметила этого, потому что сочла бы такие одиночные показатели каким-нибудь багом. Правда, рано или поздно из-за этого ко мне бы приехали из ФСБ.

О выплате в 3000 долларов и планах на них

Через несколько дней после моего репорта на HackerOne «ВКонтакте» выплатила мне 2000 долларов. Еще через несколько дней мне написали сотрудники Mail.ru и предложили доплату, так как, оказалось, эта же проблема была в ICQ. За это мне добавили еще 1000 долларов.

Конечно, выплата не такая большая, как хотелось бы. Но у VK вообще нет расценок на обнаружение подобных ошибок, так что без разницы. Конечно, ни на кого зла не держу. Обидно только, что не позвали в офис «ВКонтакте»: я этого ждал.

Я решил, что получу деньги, только когда мне исполнится 18. Дело в том, что единственный вариант вывести средства сейчас — это получить их в биткоинах. А у биткоина сейчас дико скачет курс, поэтому я дождусь совершеннолетия, чтобы получить их на PayPal.

Вообще, денег не так много, поэтому, возможно, и после 18 лет я продолжу их копить. Скорее всего, потрачу их гораздо позже, в будущем, когда уже окончу вуз: их можно было бы вложить в создание собственного дела или на аренду квартиры.

О поступлении в ИТМО и будущем

С университетом всё решилось позже: 9 июля на «Хабре» (коллективном блоге для программистов — прим. «Бумаги») я опубликовал подробное описание хода своей работы над поиском уязвимости. На следующий день, 10 июля, со мной связались из ИТМО. Они приглашали меня на тестирование, чтобы проверить уровень моих знаний. Там со мной и моей мамой провели интервью, а чуть позже со мной поговорил декан факультета информационной безопасности [и компьютерных технологий Даниил Заколдаев].

По идее, это была проверка, но достаточно легкая. Меня спросили, почему я сдал математику всего на 62 баллов, к чему я стремлюсь и чего хочу достичь, расспросили про уязвимость «ВКонтакте». В итоге пригласили на обучение за счет вуза, предупредив, что учиться будет сложно. Конечно, я согласился.

После окончания вуза я хочу сначала поработать в компании информационной безопасности или на должности специалиста безопасности, например, в том же самом «ВКонтакте». Мне нравится этим заниматься: тестировать, находить какие-то баги. Это весело, и я продолжу этим заниматься.

Фото на обложке: ИТМО

Если вы нашли опечатку, пожалуйста, сообщите нам. Выделите текст с ошибкой и нажмите появившуюся кнопку.
Подписывайтесь, чтобы ничего не пропустить
Все тексты
Свободу Саше Скочиленко
«Нас вроде и меньшинство, но адекватные мы». Курьер, психолог и бариста с антивоенной позицией — о своем будущем в России
Как помыться из бутылки за 6 минут и погулять в помещении 2х5 метров? Саша Скочиленко — о месяце в СИЗО
Адвокат: Саша Скочиленко испытывает сильные боли в сердце и животе. Она жалуется на условия для прогулок и несоблюдение безглютеновой диеты
Адвокат: Сашу Скочиленко запирали в камере-«стакане», у нее продолжают болеть живот и сердце
«Я очень обеспокоена ее самочувствием». Адвокат Саши Скочиленко — о состоянии подзащитной в СИЗО
Военные действия России в Украине
«Петербургский форум зла». Шесть протестных плакатов из поселкового сквера в Ленобласти
Организаторы выставки «Мариуполь — борьба за русский мир» заявили о ее срыве, обвинив в этом местную чиновницу. Теперь в районном паблике пишут, что она «предатель»
Роспотребнадзор: в Петербурге не выявлены случаи заражения холерой. Ранее власти говорили о риске завоза заболевания
«Звук от фейерверков многих напугал». Школьников из Мариуполя пригласили на «Алые паруса» — вот их реакция
Как получить украинскую визу в Петербурге? Подробности от МИД
Экономический кризис — 2022
В Петербурге проходит юридический форум — без мировых экспертов и вечеринки на Рубинштейна, но с Соловьевым и выставкой о Нюрнбергском трибунале
«Там была буквально битва». «Бумага» нашла петербуржца, который нанял сотрудника IKEA для покупки мебели на закрытой распродаже. Вот его рассказ
Что для России значит «символический» дефолт? Объясняет декан факультета экономики ЕУ СПб
Петербуржцы ищут в соцсетях сотрудников IKEA — чтобы купить мебель и другие товары на закрытой распродаже
Сравнивают себя с Рейхсбанком и спасают россиян. Что мы узнали из текста «Медузы» о работе Центробанка в военное время
Давление на свободу слова
«Мой мозг не понимает много вещей, которые пропагандирует Запад». Как на ПМЮФ обсуждали ЛГБТ, аборты, семейные ценности и «внешнее влияние»
«Нас вроде и меньшинство, но адекватные мы». Курьер, психолог и бариста с антивоенной позицией — о своем будущем в России
В Минюсте объяснили, кого признают «иноагентами». Тех, кто просит изменить законы и противоречит госполитике
💚 Мы запускаем мерч «Свобода мне к лицу». Встречайте: худи, футболки, косметика, свечи и торты
«Бумага» улучшила свой VPN: можно заходить на российские госсервисы из-за границы 💚
Хорошие новости
«Скучно стало, и поехал спонтанно». Житель Мурина второй месяц едет на самокате из Петербурга во Владивосток
Памятник конке на Васильевском острове превратили в арт-кафе. Показываем фото
В Петербурге запустили портал с информацией обо всех водных маршрутах 🚢
На Васильевском острове откроется кафе «Добродомик». Там будет работать «кабинет решения проблем»
В DiDi Gallery откроют выставку Саши Браулова «Архитектура уходящего». Зрителям покажут его вышивки с авангардной архитектурой
Подкасты «Бумаги»
Откуда берутся страхи и как перестать бояться неопределенности? Психотерапевтический выпуск
Как работают дата-центры: придумываем надежный и экологичный механизм обработки данных
Идеальная система рекомендаций: придумываем алгоритмы, которые помогут нам жить без конфликтов и ненужной рекламы
Придумываем профессии будущего: от облачного блогера до экскурсовода по космосу
Цифровое равенство: придумываем международный язык, развиваем медиаграмотность и делаем интернет бесплатным
Деятели искусства рекомендуют
«В Петербурге нет ни одного спектакля, где столько крутых мальчиков-артистов». Актриса МДТ Анна Завтур — о «Бесах» в Городском театре
«Верните мне мой 2007-й». Актер театра Fulcro Никита Гольдман-Кох — о любимых спектаклях в БДТ
К сожалению, мы не поддерживаем Internet Explorer. Читайте наши материалы с помощью других браузеров, например, Mozilla Firefox или Chrome.