Как школьник нашел уязвимость во «ВКонтакте», заработал 3000 долларов и поступил в ИТМО

Готовясь к ЕГЭ по информатике, 17-летний Илья Глебов нашел во «ВКонтакте» уязвимость. Она позволяла взломать практически любой аккаунт. Глебов получил от социальной сети 2000 долларов и еще тысячу от ICQ, а Университет ИТМО предложил выпускнику особые условия обучения.

«Бумага» узнала у абитуриента, почему он не продал информацию об уязвимости, как планирует распорядиться деньгами и в чем ориентируется на Павла Дурова и Илона Маска.

Илья Глебов

О себе и авторитетах

— Я начал заниматься программированием, когда мне было лет двенадцать, с 2-го класса изучал информатику в школе. Мне это нравилось и приносило какую-то пользу. Я даже не ходил к репетиторам, просто искал самоучители в сети. Так, в 16 я уже занимался чем-то, отдаленно напоминающим фриланс: за небольшое вознаграждение делал сайты-визитки.

В остальном у меня всё обычно: люблю гулять с друзьями, сидеть за компьютером, плавать. Родители меня во всем поддерживают, они никогда не были против моего обучения за компьютером, поэтому всё вышло хорошо. Конечно, за счет этого программирование занимает в моей жизни первое место.

Для себя я вижу всего двух авторитетов: Павла Дурова и Илона Маска. Это очень деятельные люди, которые не боятся рисковать в своем деле. Мне хотелось бы заниматься чем-то схожим.

Свою карьеру я всегда хотел связать с информационной безопасностью. Причем была мечта поступить именно в Петербург. Подавал сразу в пять вузов, но в приоритете держал ИТМО как лучший вуз в IT-сфере. В итоге вышло, что я действительно туда попал, хотя по баллам ЕГЭ бы не прошел: плохо сдал математику.

О том, как нашел уязвимость во «ВКонтакте»

Первые следы еще возможной уязвимости я обнаружил весной 2017 года, готовясь к ЕГЭ по информатике. Тогда я решил отвлечься, почитать и наткнулся на статью годовалой давности об одной уязвимости в «Фейсбуке». Я попробовал сделать нечто похожее во «ВКонтакте», и у меня получилось.

Суть уязвимости состояла в том, что в сервисе Mail.Ru, который с недавнего времени использует VK, был баг в процедуре восстановления страницы. Попросту говоря, если бы кто-то сделал одинаковыми сессии генерации кодов восстановления, как это сделал я, код доступа к аккаунту приходил бы сразу на два телефона. Так, зная телефон человека, можно было бы взломать его страницу.

По моим подсчетам, эта ошибка была во «ВКонтакте» как минимум с ноября 2016 года. Может быть, еще раньше. Нельзя сказать, что о ней никто не знал, но я стал первым, кто написал о ней на [платформе по поиску уязвимостей компаний] HackerOne. Правда, по данным Mail.ru, никто до меня вообще не пользовался этой уязвимостью. На то, чтобы обнаружить ее, у меня в общей сложности ушло часов шесть.

О решении не использовать уязвимость для заработка

Я даже и не думал о том, чтобы продать данные об этой уязвимости куда-либо. На мой взгляд, это просто неправильно, аморально. Практически сразу я написал репорт о ней, не задумываясь, и ошибку исправили.

Если размышлять над тем, что можно было бы сделать (но чего я не стал бы делать), гораздо выгоднее было бы просто взламывать аккаунты за деньги для тех, кто просит. Это были бы минимальные риски, к этому есть спрос. Например, условный парень хочет проверить страницу своей девушки. Он дает тебе ее номер телефона, а ты отдаешь ему страницу. Служба поддержки бы не заметила этого, потому что сочла бы такие одиночные показатели каким-нибудь багом. Правда, рано или поздно из-за этого ко мне бы приехали из ФСБ.

О выплате в 3000 долларов и планах на них

Через несколько дней после моего репорта на HackerOne «ВКонтакте» выплатила мне 2000 долларов. Еще через несколько дней мне написали сотрудники Mail.ru и предложили доплату, так как, оказалось, эта же проблема была в ICQ. За это мне добавили еще 1000 долларов.

Конечно, выплата не такая большая, как хотелось бы. Но у VK вообще нет расценок на обнаружение подобных ошибок, так что без разницы. Конечно, ни на кого зла не держу. Обидно только, что не позвали в офис «ВКонтакте»: я этого ждал.

Я решил, что получу деньги, только когда мне исполнится 18. Дело в том, что единственный вариант вывести средства сейчас — это получить их в биткоинах. А у биткоина сейчас дико скачет курс, поэтому я дождусь совершеннолетия, чтобы получить их на PayPal.

Вообще, денег не так много, поэтому, возможно, и после 18 лет я продолжу их копить. Скорее всего, потрачу их гораздо позже, в будущем, когда уже окончу вуз: их можно было бы вложить в создание собственного дела или на аренду квартиры.

О поступлении в ИТМО и будущем

С университетом всё решилось позже: 9 июля на «Хабре» (коллективном блоге для программистов — прим. «Бумаги») я опубликовал подробное описание хода своей работы над поиском уязвимости. На следующий день, 10 июля, со мной связались из ИТМО. Они приглашали меня на тестирование, чтобы проверить уровень моих знаний. Там со мной и моей мамой провели интервью, а чуть позже со мной поговорил декан факультета информационной безопасности [и компьютерных технологий Даниил Заколдаев].

По идее, это была проверка, но достаточно легкая. Меня спросили, почему я сдал математику всего на 62 баллов, к чему я стремлюсь и чего хочу достичь, расспросили про уязвимость «ВКонтакте». В итоге пригласили на обучение за счет вуза, предупредив, что учиться будет сложно. Конечно, я согласился.

После окончания вуза я хочу сначала поработать в компании информационной безопасности или на должности специалиста безопасности, например, в том же самом «ВКонтакте». Мне нравится этим заниматься: тестировать, находить какие-то баги. Это весело, и я продолжу этим заниматься.

Фото на обложке: ИТМО

Если вы нашли опечатку, пожалуйста, сообщите нам. Выделите текст с ошибкой и нажмите Ctrl + Enter.

Вся лента

все новости
Читайте еще
«Я просто нашел место, где забыли обновить программу»: как петербуржец заработал на ошибке в Facebook 40 тысяч долларов
Шеф-редактор TechCrunch — о том, как на Западе относятся к российским технологиям и почему нам не превзойти Кремниевую долину
Как студенты СПбГУ готовились к чемпионату мира по программированию и чем занимаются в свободное время
Третья волна коронавируса
«Власти много сделали, чтобы люди не прививались». Ирина Якутенко — об «индийском» штамме, обязательной вакцинации и эффективности антител
В Кремле заявили, что вакцинация от коронавируса остается добровольной. Ведь человек может уволиться с работы, на которой требуют прививку
«Упрямство свое скорей утопите внутри». Посмотрите клип «Воздуха мало» от рок-группы, состоящей из петербургских медиков
Привитым от коронавируса петербуржцам выдают сертификаты с QR-кодом. Что делать, если он не появился после вакцинации?
Как растет число заболевших и умерших из-за коронавируса в Петербурге — показываем на графиках
Евро-2020
«Футбольную деревню» на Конюшенной 25 июня закроют на санитарный день. Но сегодня там будут концерты — на сцене выступит Женя Любич
На «Газпром Арене» прошел матч между Польшей и Швецией. Вот как к нему готовились иностранные болельщики ⚽
Сборная России разгромно проиграла Дании и вылетела с Евро-2020
Фан-зона на Конюшенной заполнена болельщиками сборной России. А Крестовский — финскими фанатами
Где смотреть решающий матч сборных России и Дании? От телеэфира до текстовых трансляций и фан-зон
Гид по пригородам Петербурга
На Карельском перешейке — десятки озер, о которых мало кто знает. Вот шесть мест, где приятно купаться и гулять
В Гатчине — не только дворец и парки. Осмотрите замок мальтийских рыцарей, деревянную дачу с башней и старинную слободу, где жили егеря
В Орехове — самая высокая точка Карельского перешейка, заказник с дикими зверьми и озера. Летом в полях цветет рапс и пасутся лошади
В Лебяжьем — «кладбище поездов», столетние дома и военные форты. Прогуляйтесь по местам писателя Бианки и останьтесь до вечера, чтобы увидеть закат над заливом
В Приморске — старая финская кирха и пирс, на котором испытывают ледоколы. Прогуляйтесь по берегу залива и заказнику с морскими видами
Как всё дорожает
В Петербурге с 1 июля повысятся тарифы на коммунальные услуги
Производители куриных яиц предупредили о возможном дефиците продукции. Минсельхоз заявил о стабильной ситуации
Российские производители продуктов с начала года повысили цены на 6,4 %
За год в Петербурге очень сильно подорожало жилье. Почему? Ждать ли снижения цен и отмены льготной ипотеки?
Петербург вошел в топ-10 городов мира по росту цен на элитное жилье, обогнав Лос-Анджелес и Москву
Вакцинация от коронавируса
Вице-губернатор Петербурга Эргашев допустил новые ограничения, если темпы вакцинации не вырастут
«Власти много сделали, чтобы люди не прививались». Ирина Якутенко — об «индийском» штамме, обязательной вакцинации и эффективности антител
Краснодарский край, Карелия и Псковская область вводят ограничения для невакцинированных туристов
В Кремле заявили, что вакцинация от коронавируса остается добровольной. Ведь человек может уволиться с работы, на которой требуют прививку
Вы привились от коронавируса? И принуждают ли вас вакцинироваться? Опрос «Бумаги»
Коллеги «Бумаги»
Спасти «Медузу»
Екатерина Шульман — о «варягах», федерализме и активистах в регионах
Виталий Манский — о сорванном «Артдокфесте» в Петербурге, переезде и творчестве
В Петербурге начинается посмертный суд над погибшим в СИЗО бизнесменом Валерием Пшеничным
Лето в Петербурге
Похоже, петербуржцы сейчас пьют очень много воды — в некоторых магазинах опустели полки. Но ситуация не такая плохая, как с вентиляторами
На внутренней территории Гостиного двора откроют общественное пространство с фуд-холлом, концертной площадкой и лекторием. Обновлено
МЧС предупредило об усилении ветра в Петербурге до 18 м/с. Сады и скверы временно закроют
«Сейчас заплачу от счастья». В ряде районов Петербурга прошел дождь — горожане делятся снимками мокрых крыш и благодарят высшие силы ☔
Петербуржцы несколько дней спасались от аномальной жары. Взгляните на прыжки с Дворцового и купания в каналах 🏊🏻‍♀
Подкасты «Бумаги»
«Это ответственная работа, где твой начальник онлайн 24/7». Как мужчины берут отпуск по уходу за ребенком и зачем борются со стереотипами о маскулинности
Как одеваться экологично? В этом подкасте говорим про влияние моды на климат и бережное отношение к вещам
Чем грозит таяние ледников и вечной мерзлоты и как ученые воссоздают экосистему эпохи мамонтов? В этом подкасте обсуждаем Арктику и Антарктику
«Мы выросли в ощущении безопасности — но скоро так уже не будет». Зачем школьники и студенты устраивают забастовки за климат по всему миру
«Я была абсолютно не готова к отсутствию комфорта». Горожане, переехавшие в деревни, рассказывают о сельском быте, отношениях с местными жителями и одиночестве

Спасибо!

Теперь редакторы в курсе.

К сожалению, мы не поддерживаем Internet Explorer. Читайте наши материалы с помощью других браузеров, например, Mozilla Firefox или Chrome.