24 июля 2017

Как школьник нашел уязвимость во «ВКонтакте», заработал 3000 долларов и поступил в ИТМО

Готовясь к ЕГЭ по информатике, 17-летний Илья Глебов нашел во «ВКонтакте» уязвимость. Она позволяла взломать практически любой аккаунт. Глебов получил от социальной сети 2000 долларов и еще тысячу от ICQ, а Университет ИТМО предложил выпускнику особые условия обучения.

«Бумага» узнала у абитуриента, почему он не продал информацию об уязвимости, как планирует распорядиться деньгами и в чем ориентируется на Павла Дурова и Илона Маска.

Илья Глебов

О себе и авторитетах

— Я начал заниматься программированием, когда мне было лет двенадцать, с 2-го класса изучал информатику в школе. Мне это нравилось и приносило какую-то пользу. Я даже не ходил к репетиторам, просто искал самоучители в сети. Так, в 16 я уже занимался чем-то, отдаленно напоминающим фриланс: за небольшое вознаграждение делал сайты-визитки.

В остальном у меня всё обычно: люблю гулять с друзьями, сидеть за компьютером, плавать. Родители меня во всем поддерживают, они никогда не были против моего обучения за компьютером, поэтому всё вышло хорошо. Конечно, за счет этого программирование занимает в моей жизни первое место.

Для себя я вижу всего двух авторитетов: Павла Дурова и Илона Маска. Это очень деятельные люди, которые не боятся рисковать в своем деле. Мне хотелось бы заниматься чем-то схожим.

Свою карьеру я всегда хотел связать с информационной безопасностью. Причем была мечта поступить именно в Петербург. Подавал сразу в пять вузов, но в приоритете держал ИТМО как лучший вуз в IT-сфере. В итоге вышло, что я действительно туда попал, хотя по баллам ЕГЭ бы не прошел: плохо сдал математику.

О том, как нашел уязвимость во «ВКонтакте»

Первые следы еще возможной уязвимости я обнаружил весной 2017 года, готовясь к ЕГЭ по информатике. Тогда я решил отвлечься, почитать и наткнулся на статью годовалой давности об одной уязвимости в «Фейсбуке». Я попробовал сделать нечто похожее во «ВКонтакте», и у меня получилось.

Суть уязвимости состояла в том, что в сервисе Mail.Ru, который с недавнего времени использует VK, был баг в процедуре восстановления страницы. Попросту говоря, если бы кто-то сделал одинаковыми сессии генерации кодов восстановления, как это сделал я, код доступа к аккаунту приходил бы сразу на два телефона. Так, зная телефон человека, можно было бы взломать его страницу.

По моим подсчетам, эта ошибка была во «ВКонтакте» как минимум с ноября 2016 года. Может быть, еще раньше. Нельзя сказать, что о ней никто не знал, но я стал первым, кто написал о ней на [платформе по поиску уязвимостей компаний] HackerOne. Правда, по данным Mail.ru, никто до меня вообще не пользовался этой уязвимостью. На то, чтобы обнаружить ее, у меня в общей сложности ушло часов шесть.

О решении не использовать уязвимость для заработка

Я даже и не думал о том, чтобы продать данные об этой уязвимости куда-либо. На мой взгляд, это просто неправильно, аморально. Практически сразу я написал репорт о ней, не задумываясь, и ошибку исправили.

Если размышлять над тем, что можно было бы сделать (но чего я не стал бы делать), гораздо выгоднее было бы просто взламывать аккаунты за деньги для тех, кто просит. Это были бы минимальные риски, к этому есть спрос. Например, условный парень хочет проверить страницу своей девушки. Он дает тебе ее номер телефона, а ты отдаешь ему страницу. Служба поддержки бы не заметила этого, потому что сочла бы такие одиночные показатели каким-нибудь багом. Правда, рано или поздно из-за этого ко мне бы приехали из ФСБ.

О выплате в 3000 долларов и планах на них

Через несколько дней после моего репорта на HackerOne «ВКонтакте» выплатила мне 2000 долларов. Еще через несколько дней мне написали сотрудники Mail.ru и предложили доплату, так как, оказалось, эта же проблема была в ICQ. За это мне добавили еще 1000 долларов.

Конечно, выплата не такая большая, как хотелось бы. Но у VK вообще нет расценок на обнаружение подобных ошибок, так что без разницы. Конечно, ни на кого зла не держу. Обидно только, что не позвали в офис «ВКонтакте»: я этого ждал.

Я решил, что получу деньги, только когда мне исполнится 18. Дело в том, что единственный вариант вывести средства сейчас — это получить их в биткоинах. А у биткоина сейчас дико скачет курс, поэтому я дождусь совершеннолетия, чтобы получить их на PayPal.

Вообще, денег не так много, поэтому, возможно, и после 18 лет я продолжу их копить. Скорее всего, потрачу их гораздо позже, в будущем, когда уже окончу вуз: их можно было бы вложить в создание собственного дела или на аренду квартиры.

О поступлении в ИТМО и будущем

С университетом всё решилось позже: 9 июля на «Хабре» (коллективном блоге для программистов — прим. «Бумаги») я опубликовал подробное описание хода своей работы над поиском уязвимости. На следующий день, 10 июля, со мной связались из ИТМО. Они приглашали меня на тестирование, чтобы проверить уровень моих знаний. Там со мной и моей мамой провели интервью, а чуть позже со мной поговорил декан факультета информационной безопасности [и компьютерных технологий Даниил Заколдаев].

По идее, это была проверка, но достаточно легкая. Меня спросили, почему я сдал математику всего на 62 баллов, к чему я стремлюсь и чего хочу достичь, расспросили про уязвимость «ВКонтакте». В итоге пригласили на обучение за счет вуза, предупредив, что учиться будет сложно. Конечно, я согласился.

После окончания вуза я хочу сначала поработать в компании информационной безопасности или на должности специалиста безопасности, например, в том же самом «ВКонтакте». Мне нравится этим заниматься: тестировать, находить какие-то баги. Это весело, и я продолжу этим заниматься.

Фото на обложке: ИТМО

Если вы нашли опечатку, пожалуйста, сообщите нам. Выделите текст с ошибкой и нажмите появившуюся кнопку.
Подписывайтесь, чтобы ничего не пропустить
Все тексты
Военное положение
«Живописец вручает зрителю свою повестку». В «ЧВК Вагнер Центре» — выставка от «Z-художника» и философа, обвиненного в домогательствах
В Петербурге задержали военного, обвиняемого в дезертирстве. Таких случаев десятки
В телеграме публикуют фото и видео систем противовоздушной обороны на крышах домов в Москве. Что об этом известно?
Власти Ленобласти отменили запрет митингов. И назвали эту меру «избыточной»
Затоплены, замусорены и сокрыты. В каком состоянии бомбоубежища Петербурга — и почему большинство горожан их не найдет
Мобилизация
«Можем объяснить»: у аспирантов ИТМО требуют предоставить военно-учетные данные
CNN: Путин планирует мобилизовать еще 200 тысяч человек. Песков, как обычно, это отрицает
47News: осужденный петербуржец вышел на свободу после службы в ЧВК «Вагнер». Он должен был провести 23 года в колонии за четыре убийства
В Госдуме предложили не выпускать россиян за границу на машине без предварительной записи
❗️ Указ Путина о «частичной мобилизации» предусматривает «другие мероприятия» помимо призыва россиян на фронт
Визовые ограничения
Президент Финляндии заявил о бессрочном запрете на туристические визы для россиян
Финляндия собирается строить забор на границе с Россией. Каким он будет и сколько займут работы?
Чехия ограничит въезд для российских туристов с 25 октября
На финской границе развернули более 500 россиян после введения запрета на въезд для туристов. До этого отказы были единичными
Helsingin sanomat: финскую границу закроют для российских туристов сегодня ночью
Давление на свободу слова
Из-за регистрации в «Умном голосовании» заставляют отчислиться студентку колледжа при СПбГАУ
Я читаю «Медузу» — это законно? Реально ли мне что-то грозит за лайк и репост? И как задонатить независимому СМИ?
Главные тексты «Медузы» о Петербурге: от биографии Беглова до истории саентологов
❗️ «Медузу» признали «нежелательной организацией». Чем это грозит изданию?
Против Семена Слепакова попросили возбудить уголовное дело. Какие еще артисты столкнулись с давлением властей?
Свободу Саше Скочиленко
Саше Скочиленко угрожают карцером за дневной сон
Саша Скочиленко дала показания по делу об антивоенных ценниках. Как прошло заседание, где ей снова отказали в домашнем аресте
«Вы сильнее, чем вы о себе думаете». Большое интервью Саши Скочиленко «Бумаге» — о ПТСР, отношении к ней в СИЗО и шоу в суде
Саша Скочиленко рассказала о видеонаблюдении в камерах СИЗО и поблагодарила за новогодний подарок и письма
Как прошло первое заседание по существу по делу художницы Саши Скочиленко. Главное
Экономический кризис — 2022
Сколько ресторанов, кафе и баров открыли и закрыли в Петербурге в 2022 году? А в предыдущие годы?
Росздравнадзор: из-за «логистических проблем» некоторые лекарства поступают в аптеки с задержкой
Каким будет курс рубля в 2023 году? Вот прогнозы аналитиков
Цена кормов для животных в Петербурге за год выросла на треть. Услуги ветеринаров тоже подорожали
В 2022 году в Петербурге выросло производство одежды
К сожалению, мы не поддерживаем Internet Explorer. Читайте наши материалы с помощью других браузеров, например, Chrome или Mozilla Firefox Mozilla Firefox или Chrome.