24 июля 2017

Как школьник нашел уязвимость во «ВКонтакте», заработал 3000 долларов и поступил в ИТМО

Готовясь к ЕГЭ по информатике, 17-летний Илья Глебов нашел во «ВКонтакте» уязвимость. Она позволяла взломать практически любой аккаунт. Глебов получил от социальной сети 2000 долларов и еще тысячу от ICQ, а Университет ИТМО предложил выпускнику особые условия обучения.

«Бумага» узнала у абитуриента, почему он не продал информацию об уязвимости, как планирует распорядиться деньгами и в чем ориентируется на Павла Дурова и Илона Маска.

Илья Глебов

О себе и авторитетах

— Я начал заниматься программированием, когда мне было лет двенадцать, с 2-го класса изучал информатику в школе. Мне это нравилось и приносило какую-то пользу. Я даже не ходил к репетиторам, просто искал самоучители в сети. Так, в 16 я уже занимался чем-то, отдаленно напоминающим фриланс: за небольшое вознаграждение делал сайты-визитки.

В остальном у меня всё обычно: люблю гулять с друзьями, сидеть за компьютером, плавать. Родители меня во всем поддерживают, они никогда не были против моего обучения за компьютером, поэтому всё вышло хорошо. Конечно, за счет этого программирование занимает в моей жизни первое место.

Для себя я вижу всего двух авторитетов: Павла Дурова и Илона Маска. Это очень деятельные люди, которые не боятся рисковать в своем деле. Мне хотелось бы заниматься чем-то схожим.

Свою карьеру я всегда хотел связать с информационной безопасностью. Причем была мечта поступить именно в Петербург. Подавал сразу в пять вузов, но в приоритете держал ИТМО как лучший вуз в IT-сфере. В итоге вышло, что я действительно туда попал, хотя по баллам ЕГЭ бы не прошел: плохо сдал математику.

О том, как нашел уязвимость во «ВКонтакте»

Первые следы еще возможной уязвимости я обнаружил весной 2017 года, готовясь к ЕГЭ по информатике. Тогда я решил отвлечься, почитать и наткнулся на статью годовалой давности об одной уязвимости в «Фейсбуке». Я попробовал сделать нечто похожее во «ВКонтакте», и у меня получилось.

Суть уязвимости состояла в том, что в сервисе Mail.Ru, который с недавнего времени использует VK, был баг в процедуре восстановления страницы. Попросту говоря, если бы кто-то сделал одинаковыми сессии генерации кодов восстановления, как это сделал я, код доступа к аккаунту приходил бы сразу на два телефона. Так, зная телефон человека, можно было бы взломать его страницу.

По моим подсчетам, эта ошибка была во «ВКонтакте» как минимум с ноября 2016 года. Может быть, еще раньше. Нельзя сказать, что о ней никто не знал, но я стал первым, кто написал о ней на [платформе по поиску уязвимостей компаний] HackerOne. Правда, по данным Mail.ru, никто до меня вообще не пользовался этой уязвимостью. На то, чтобы обнаружить ее, у меня в общей сложности ушло часов шесть.

О решении не использовать уязвимость для заработка

Я даже и не думал о том, чтобы продать данные об этой уязвимости куда-либо. На мой взгляд, это просто неправильно, аморально. Практически сразу я написал репорт о ней, не задумываясь, и ошибку исправили.

Если размышлять над тем, что можно было бы сделать (но чего я не стал бы делать), гораздо выгоднее было бы просто взламывать аккаунты за деньги для тех, кто просит. Это были бы минимальные риски, к этому есть спрос. Например, условный парень хочет проверить страницу своей девушки. Он дает тебе ее номер телефона, а ты отдаешь ему страницу. Служба поддержки бы не заметила этого, потому что сочла бы такие одиночные показатели каким-нибудь багом. Правда, рано или поздно из-за этого ко мне бы приехали из ФСБ.

О выплате в 3000 долларов и планах на них

Через несколько дней после моего репорта на HackerOne «ВКонтакте» выплатила мне 2000 долларов. Еще через несколько дней мне написали сотрудники Mail.ru и предложили доплату, так как, оказалось, эта же проблема была в ICQ. За это мне добавили еще 1000 долларов.

Конечно, выплата не такая большая, как хотелось бы. Но у VK вообще нет расценок на обнаружение подобных ошибок, так что без разницы. Конечно, ни на кого зла не держу. Обидно только, что не позвали в офис «ВКонтакте»: я этого ждал.

Я решил, что получу деньги, только когда мне исполнится 18. Дело в том, что единственный вариант вывести средства сейчас — это получить их в биткоинах. А у биткоина сейчас дико скачет курс, поэтому я дождусь совершеннолетия, чтобы получить их на PayPal.

Вообще, денег не так много, поэтому, возможно, и после 18 лет я продолжу их копить. Скорее всего, потрачу их гораздо позже, в будущем, когда уже окончу вуз: их можно было бы вложить в создание собственного дела или на аренду квартиры.

О поступлении в ИТМО и будущем

С университетом всё решилось позже: 9 июля на «Хабре» (коллективном блоге для программистов — прим. «Бумаги») я опубликовал подробное описание хода своей работы над поиском уязвимости. На следующий день, 10 июля, со мной связались из ИТМО. Они приглашали меня на тестирование, чтобы проверить уровень моих знаний. Там со мной и моей мамой провели интервью, а чуть позже со мной поговорил декан факультета информационной безопасности [и компьютерных технологий Даниил Заколдаев].

По идее, это была проверка, но достаточно легкая. Меня спросили, почему я сдал математику всего на 62 баллов, к чему я стремлюсь и чего хочу достичь, расспросили про уязвимость «ВКонтакте». В итоге пригласили на обучение за счет вуза, предупредив, что учиться будет сложно. Конечно, я согласился.

После окончания вуза я хочу сначала поработать в компании информационной безопасности или на должности специалиста безопасности, например, в том же самом «ВКонтакте». Мне нравится этим заниматься: тестировать, находить какие-то баги. Это весело, и я продолжу этим заниматься.

Фото на обложке: ИТМО

Если вы нашли опечатку, пожалуйста, сообщите нам. Выделите текст с ошибкой и нажмите появившуюся кнопку.
Подписывайтесь на «Бумагу» там, где вам удобно
Все тексты
Читайте еще
«Я просто нашел место, где забыли обновить программу»: как петербуржец заработал на ошибке в Facebook 40 тысяч долларов
Шеф-редактор TechCrunch — о том, как на Западе относятся к российским технологиям и почему нам не превзойти Кремниевую долину
Как студенты СПбГУ готовились к чемпионату мира по программированию и чем занимаются в свободное время
Четвертая волна коронавируса
Международный культурный форум в Петербурге отменен из-за неблагоприятной ситуации с коронавирусом
Минздрав попросил пожилых медиков, самоизолировавшихся в начале пандемии, вакцинироваться и выйти на работу
«Фонтанка»: в Петербурге хотят ввести QR-коды для некоторых мероприятий, но не для общепита. Окончательное решение еще не принято
Собираетесь в Выборг, Новгород или Псков? Сверьтесь с картинкой — мы отметили регионы рядом с Петербургом, где ввели систему QR-кодов
Математики СПбГУ посчитали, какой может быть заболеваемость COVID-19 в России в ноябре
Как меняется Петербург
На Охтинском мысу создадут общественные пространства — какими они будут? Показываем прогулочную тропу, кафе и зимний сад
Смольный обещает до 2024-го ввести беспилотный транспорт, оплату проезда лицом и агрегатор культурных событий. Вот что может (но не точно) появиться в Петербурге
В Калининском районе появится 3 тысячи контейнеров для раздельного сбора мусора. Их установят в 2022 году
Власти готовят документы для приватизации дома Брюллова на Кадетской линии. Его могут выставить на продажу
С 2022 года платная парковка на улице Рубинштейна станет круглосуточной
Научпоп
Рецепторы, глобальное потепление и экономика труда. Главное о научных исследованиях нобелевских лауреатов — 2021
Космический туризм, астрономия и облачные технологии. Присоединяйтесь к нашему фестивалю Science Bar Hopping в Москве!
Петербургские археологи нашли геоглиф в виде быка в Тыве. Рассказываем, что это и почему находку называют уникальной
Откуда берутся слухи про чипирование, как фейки о бесплатных лекарствах рекламируют БАДы и можно ли зарабатывать на фактчекинге в России? Рассказывает сооснователь Fakecheck
Мы проводим научный фестиваль «Кампус» — офлайн! Приходите на лекции о том, как устроен интернет 💻 И поспешите, билетов не очень много
Вакцинация от коронавируса
Что известно об обязательной вакцинации в Петербурге. Кто должен привиться, какие санкции ждут отказавшихся и возможно ли введение QR-кодов
Российская сторона тормозит взаимное признание COVID-паспортов, заявил посол Евросоюза. Они позволят россиянам въезжать в страны ЕС без карантина
Блогера из Петербурга будут судить за видео с фейками о коронавирусе. Он утверждал, что применение вакцины приводит к смерти. Обновлено
Заболеваемость COVID-19 растет. Как обезопасить себя? Очень простая инструкция
Центр Гамалеи разрабатывает единую вакцину против гриппа и коронавируса. Ее начнут испытывать в конце 2022 года
Коллеги «Бумаги»
Кто реально победил на выборах в Госдуму? В чем не правы противники «Умного голосования»? Как были устроены фальсификации?
Как протест против ввоза мусора из Москвы пробудил в ярославцах интерес к экологическим проблемам
Как «Независимая ассоциация врачей» отговаривает россиян прививаться
Гид по пригородам Петербурга
Прогулки с видом на реку, 100-летняя ГЭС и краеведческий музей в доме инженера — приезжайте в Волхов
В Петяярви — маршрут для долгой бодрой прогулки и идеальные места для пикников. Осмотрите заброшенную финскую ГЭС с водопадом и лесные озера
В Гатчине — не только дворец и парки. Осмотрите замок мальтийских рыцарей, деревянную дачу с башней и старинную слободу, где жили егеря
В Орехове — самая высокая точка Карельского перешейка, заказник с дикими зверьми и озера. Летом в полях цветет рапс и пасутся лошади
В Лебяжьем — «кладбище поездов», столетние дома и военные форты. Прогуляйтесь по местам писателя Бианки и останьтесь до вечера, чтобы увидеть закат над заливом
Подкасты «Бумаги»
Как спасти планету от мусора? Придумываем варианты во время мозгового штурма: от геймификации до новой экономики
«Нахрен все эти деньги, открываем бар!». Каково запустить бизнес своей мечты — и закрыть его
Вместе со школы❤️ Выпуск про первые отношения и неловкие романы
«Твой умный кореш»: слушайте подкаст «Бумаги» — с историями про безумный автостоп, жизнь с пятью детьми и отказ от алкоголя
Как создать идеального робота и не породить корпорацию зла? Придумываем правила для искусственного интеллекта в первом видеовыпуске подкаста Science Bar Hopping!
К сожалению, мы не поддерживаем Internet Explorer. Читайте наши материалы с помощью других браузеров, например, Mozilla Firefox или Chrome.