Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя

• Вконтакте API ,
• Информационная безопасность

Коротко

С чего всё начиналось

Поиск уязвимости на полной версии сайта

Переход на мобильную версию

Затем, я вспомнил комментарий и решил попробовать сделать то же самое в мобильной версии сайта.

Отправляем фото на стену:

Curl "http://m.vk.com/wall53083705" -H "Cookie: remixsid=#remixsid" --data "act=post&hash=#hash&attach1_type=photo&attach1=idВладельцаФото_idСкрытогоФото" # id фотографии состоит из двух частей разделенных знаком подчеркивания idВладельцаФото_idСкрытогоФото
Этот запрос выполнился не корректно, но обновив страницу, я с удивлением обнаружил, что на форме отправки появилась прикрепленная уменьшенная копия фотографии.

Максимальный размер фотографии - 130x130, но этого достаточно, чтобы, например, распознать лица на фото. Попытки получить ссылку на полное фото ни к чему не привели. Видимо, после закрытия уязвимости, с мобильной версии сайта прямые ссылки на полный размер просто так уже не получить.

Перебор фотографий

Id фотографии состоит из двух частей: photo12345_330000000 (idВладельца_idФото), вторая часть - растет от фотографии к фотографии, но это не обычный автоинкремент. Так как алгоритм выбора шага неизвестен, будем перебирать с шагом 1.

Для перебора воспользуемся методом api photos.delete . Данный метод для всех существующих фотографий (в том числе и скрытых) вернет error_code : 15. А для всех несуществующих id фотографий вернется единица.

Скорость перебора

чтобы узнать прямые ссылки на фотки юзера, допустим, за прошлый год, нужно перебрать всего лишь 30 млн (от _320000000 до _350000000) различных вариаций ссылок

Воспользовавшись ускорениями перебора из указанной статьи, фотографии пользователя можно было бы перебрать:

за 1 минуту получить все ваши вчерашние фотографии, за 7 минут - все фото, загруженные на прошлой неделе, за 20 минут - прошлый месяц, за 2 часа - прошлый год.

Отсев открытых/скрытых

Информация о лайкнувших пользователях

Репорт на hackerone

P.S.: тем, кто впервые пытается вывести вознаграждение с hackerone.com на новый аккаунт paypal - советую внимательно прочитать условия. Paypal при переводе средств, может без вашего согласия конвертнуть вознаграждение в валюту страны указанной в вашем профиле.

Пользователи рунета очень часто спрашивают, как посмотреть закрытые альбомы участников социальной сети ВКонтакте? Существует ли вообще такая возможность и если да, то как ею воспользоваться?

Увы и ах, посмотреть закрытые фотоальбомы нельзя, как бы вам этого не хотелось. Потому они и являются закрытыми, раз пользователь не хочет выставлять их на всеобщее обозрение, а ВК в этом ему лишь помогает.

Сами по себе скрытые альбомы никак себя не выдают. Вполне возможно, что у пользователя, который вам интересен, их вообще нет. Тем не менее, убедиться в этом невозможно. Вот что видит пользователь, у которого имеется альбом, доступный только ему:

А вот что видит пользователь, который зайдет к этому человеку на страницу:

Разница очевидна.

Некоторое время назад был один способ, который якобы помогал в этом нелегком деле — поиске закрытых альбомов. Неизвестно, был ли он рабочим раньше, но сегодня он точно не работает. Суть в следующем: берется ссылка вида vk.com/albumsXXXXX, где вместо буковок X вставляется id пользователя. Можете проверить прямо сейчас — откроется список фотографий и альбомов, которые доступны к просмотру любому пользователю.

В общем, единственный вариант — это получить доступ к странице пользователя, а сделать это можно только в том случае, если он сам же и предоставит вам доступ. В остальных случаях ничего не выйдет. Для кого-то счастью, для кого-то — к сожалению.

Социальные сети уже давно не являются чем-то особенным, и даже наоборот, они стали привычными для повседневности. Практически у каждого тинэйджера сейчас есть страничка в «ВК» или «Твиттере». Тут они могут общаться, публиковать фотографии, слушать музыку и многое-многое другое. Интересен тот факт, что любой пользователь может ограничить доступ к своей странице от неподтвержденных пользователей. Эта опция была введена с целью дать самостоятельно принимать решение, с кем он хочет общаться, а с кем нет.

Так, изменив настройки приватности, каждый человек может предоставить доступ к своим фотографиям для тех людей, которых он считает проверенными. Тем не менее, всегда найдутся такие пользователи, которые хотят остаться анонимными, но все же желают просматривать персональную информацию. Как правило, это связано со страницами «ВК», так как эта социальная сеть является самой популярной в Рунете. В этой статье будут разобрано, вероятен ли просмотр закрытых страниц «ВКонтакте».

Что такое приватность?

Приватность, или настройки доступа к своей странице - это ряд опций, ограничивающих возможности других пользователей в отношении вашего аккаунта. Как было сказано выше, это было сделано с целью недопущения к нему недоброжелателей и анонимов. В «ВК» достаточно широко развита тема приватности, так как некоторые ее опции являются прямыми следствиями из Конституции, например,

Настройки позволяют заблокировать доступ для сторонних пользователей к видео и аудиозаписям, фотографиям, личным сообщениям. Таким образом, можно полностью закрыть доступ к странице для любого человека. Многие задаются вопросом: "Как посмотреть закрытую страницу ?" Об этом и пойдет речь ниже.

Как осуществляется запрет доступа?

В социальной сети «ВКонтакте» есть так называемые категории пользователей. Они подразделяются на «Друзей», «Подписчиков» и прочих сторонних. Для возможности разграничения доступа между ними и были созданы ограничения. Изначально при регистрации страница пользователя доступна всем, но изменить это можно, перейдя в раздел «Настройки» во вкладку «Приватность». Изменяя категории или выбирая отдельных людей, можно настроить доступ к персональной странице.

Далее уже фильтр «ВК» будет осуществлять всю работу. Часто люди пытаются выяснить, есть ли какие-нибудь секреты «ВКонтакте», просмотр закрытых страниц, например, но найти вразумительного ответа на этот вопрос не удается.

Возможность просмотра закрытых страниц

Итак, действительно ли можно посмотреть, что находится на закрытой странице? К сожалению, просмотр закрытых страниц «ВКонтакте» невозможен. Раньше, когда социальная сеть только развивалась, дыр было очень много, в том числе и таких, которые давали возможность получить пароль. Сейчас дело обстоит совершенно иначе. Теперь нет абсолютно никаких способов осуществить просмотр закрытых страниц «ВКонтакте» онлайн.

Почему это невозможно?

«Сломать» ограничение доступа не представляется возможным потому, что вся информация о приватности находится на серверах самой компании. Если раньше система работала по принципу заперта определенным группам, то теперь наоборот: осуществляется только разрешение доступа кому-либо. Это и стало для большинства «хакеров». Раньше существовало большое количество программного обеспечения , но теперь просмотр закрытых страниц «ВКонтакте» программы осуществить не смогут, потому что они работали по такому же принципу ручных способов, но сейчас это невозможно.

Попытки доступа к закрытым страницам

Конечно, и социальная сеть «ВК» неидеальна, и некоторые «дыры» все-таки имеет. Доступ к любому разделу осуществляется по ссылке, содержащей ID пользователя. Некоторые советуют брать готовые ссылки, ведущие к каким-либо разделам: фотографиям, видео и подставить туда этот идентификатор, но это не помогает, так как приводит на страницу с открытыми материалами. Возможно, это будет полезно, ведь со страницы самого человека ссылки в эти разделы отсутствуют. Как можно осуществить просмотр закрытых страниц «ВКонтакте», если нет ID?

Нужно его узнать. Для этого есть несколько способов. Вообще, он есть у каждого пользователя, но некоторые шифруют его через поддомен - буквенную ссылку. Чтобы узнать идентификатор, необходимо зайти на страницу человека, нажать «Отправить пользователю подарок» правой кнопкой мыши и выбрать «Копировать ссылку». Вставить ее в адресную строку и цифры в ней и буду ID пользователя. Далее с ним можно проделывать необходимые различные операции.

Просмотр закрытых фотографий

Несмотря на то, что просмотр закрытых страниц «ВКонтакте» невозможен, получить доступ к фото все-таки можно. Способ довольно простой и действенный. Необходимо найти фотографию человека, на которой он отмечен, после чего перейти к ускоренному просмотру и пролистывать фото. Несмотря на то, что обыкновенный доступ к ним закрыт, просмотреть их удастся. Эту «дыру» техническая служба пока устранить не в состоянии, поэтому многие ею активно пользуются.

Сервисы для просмотра закрытых страниц

В сети существует огромное количество разнообразных сайтов, предлагающих по ссылке на страницу человека предоставить доступ к закрытым разделам. Вообще, они всего лишь автоматизируют тот способ, о котором было сказано выше, а именно осуществляют подстановку в готовый путь в раздел. Раньше, когда над приватностью работали не так плотно, такие сайты были действительно эффективны, сейчас же их польза стремится к нулю. Единственный способ узнать о человеке больше по его странице - это добавиться к нему в друзья или попросить его товарищей что-либо рассказать. Иные способы будут либо недейственными, либо незаконными.

Заключение

Как уже было сказано, просмотр закрытых страниц «ВКонтакте» невозможен. В последнее время работа над приватностью ведется очень активно и система безопасности постоянно совершенствуется. Это легко объяснить тем, что люди все чаще доверяют серверам социальных сетей ценные документы, и фотографии, и их утечка может сказаться на руководстве не самым положительным образом. В любом случае все попытки доступа к персональной информации для третьих лиц строго запрещается при помощи различных систем безопасности. Подведем итог: получить доступ к приватной информации без ведома пользователя невозможно и не существует никаких программ или сервисов, которые бы помогли это сделать. Более того, такие манипуляции противозаконны, так как нарушают законы Российской Федерации. Администрация социальной сети «ВКонтакте» активно борется с хакерами, которые стараются «взломать» чужие страницы. Далеко не всем может понравиться, если его переписка или фотографии попадут в руки кому-либо. Для создателей это может явиться серьезным ударом по репутации, что, несомненно, повлияет на популярность их проекта. Именно по этой причине они активно борются за конфиденциальность данных всех своих пользователей. Над этим работают лучшие сотрудники корпорации, благодаря чему безопасность - главные конек «ВКонтакте».

Если вам нужно получить информацию о пользователе, можно попробовать найти ее на его личной странице Вконтакте. Люди охотно публикуют свои личные данные в профиле. Есть вероятность того, что вам удастся узнать адрес, телефон (см.) и другую полезную информацию. Но встает вопрос - сможете ли вы просмотреть страницу вконтакте без предварительной регистрации ?

Что нужно знать

Все что вам понадобиться, это знать полный адрес страницы пользователя, или хотя бы его id (см.). Давайте рассмотрим это на примере страницы моего друга. У него вот такой id:

Если бы в настройках своего профиля, он заменил id на уникальную ссылку (так можно сделать), то для просмотра его страницы, мы должны были бы знать ее. Как пример, такая ссылка может иметь вот такой вид.

Https://vk.com/iljutkina

В любом случае, для того, чтобы подсмотреть личные данные пользователя, мы должны знать какой-то из двух вариантов урл.

Просмотр страниц ВКонтакте без регистрации

Использую адрес профиля, который мы получили на предыдущем шаге, вы можете зайти к человеку на страницу. При этом не обязательно предварительно самому регистрироваться в ВК (см.). Все зависит лишь от настроек, которые задал пользователь для своего аккаунта.

Если он не скрыл данные от посторонних глаз, то вы сможете просмотреть их.

Как видите, на тестовой странице мы увидим:

Заключение

Все довольно просто, если данные на странице не скрыты. А вот если человек позаботился о настройках приватности, то здесь у вас уже начинаются определенные проблемы (см.).

Для начала стоит отказаться от идеи просмотра данных без регистрации. Создайте себе аккаунт, и добавьте нужного пользователя в друзья. Возможно тогда некоторая информация станет доступна. Чаще всего закрывают свою личную информацию именно от пользователей, которых нет в друзьях.

Хочу сразу предостеречь вас от использования сервисов, которые якобы обещают предоставить все данные от скрытых страниц (см.

Инструкция

Прежде всего, зайдите на сайт. Если вы вышли из вашего аккаунта, просматривать страницы вы сможете после авторизации на сайте. Просмотр любой страницы для незарегистрированного пользователя невозможен, а попытки открыть любой раздел сайта возвращают вас на страницу регистрации и авторизации.

Если вы не можете посмотреть информацию о пользователе, вам нужно добавить его в друзья. У любой персоны на сайте может быть закрытый фотоальбом. Просмотреть его вы никак не сможете, разве что по личной просьбе.

Также во «ВКонтакте» есть множество групп по интересам. Открытые группы позволяют просматривать содержимое безо всяких ограничений. Однако есть закрытые группы, и чтобы получить возможность пользоваться их контентом, вам надо вступить в группу или подать заявку на вступление (она будет рассматриваться модераторами группы).

Для постороннего просмотра обычно закрыты страницы статистики групп. Доступ к ним настраивается создателем. Иногда основатель предоставляет доступ администраторам. Если вас таковым назначат, вы сможете смотреть статистику.

Если пользователь отключил комментирование фото или видео, вы получите возможность только просматривать сам ресурс без возможности оставлять замечания. Вы можете добавить новый файл в свой аккаунт и снять ограничения, тогда другие пользователи смогут комментировать. Подобным образом происходит работа с информацией, располагающейся в группах.

Иногда на форумах предлагают программы или скрипты для просмотра закрытых страниц «ВКонтакте». Их использование не рекомендуется, потому как может представлять потенциальную опасность. Администрация сайта заботится о конфиденциальности данных и не предлагает подобного рода услуги.

Сайте «ВКонтакте » обладает своими правилами. Можно защитить страницу от посторонних глаз, разрешив доступ к ним только своим друзьям. Соответственно, вы также не сможете просматривать страницы других пользователей, которые не состоят у вас в друзьях. Однако в этом случае не все потеряно.

Сегодня существует множество всевозможных социальных сетей, но самой большой любовью и популярностью пользуется, пожалуй, именно «В Контакте». Статистические данные показывают, что в данном он-лайн сервисе зарегистрированный профайл имеет каждый третий Интернет-пользователь. Миллионы людей в сутки здесь просматривают свои и чужие страницы, общаются с друзьями и родственниками, заводят новые знакомства, играют в различные приложения, смотрят фильмы и т.п. Но одни люди более открыты для виртуального общения, а другие наоборот, хотели бы, чтобы информацию о них никто не видел. Поэтому они стараются всячески скрывать свою страницу от посторонних глаз.

Однако человек по природе своей любопытен, и ему, так или иначе, обязательно захочется узнать, как, например, поживает кто-нибудь из бывших возлюбленных. И если вдруг окажется, что профайл нужной ему персоны недоступен, ему еще больше захочется посмотреть закрытую страницу «В Контакте». И тут уже в ход могут пойти самые разнообразные методы взломов и проникновений на «запрещенную территорию».

Если вам тоже страсть как захотелось взглянуть на недосягаемую страницу, предлагаем ознакомиться с несколькими секретами. Во-первых, для того чтобы просматривать скрытые страницы, попробуйте воспользоваться ID в соцсети. Это автоматически присвоенный ему ресурсом уникальный номер, который можно увидеть в строке браузера при входе на страницу того или иного человека. Если вы, к примеру, не знаете, как посмотреть закрытую страницу «В Контакте» с фотографиями пользователя, сделайте так: скопируйте из браузерной строки его ID (копируем только цифры), затем зайдите на свою собственную страницу и откройте фотографии. Снова обратите свои взоры на браузерную строку: в ссылке, которую вы там увидите, нужно удалить цифры вашего своего ID и вместо них вставить скопированный идентификатор того, кто вам нужен. После этого нажимаете Enter и смотрите, что хотите. Точно таким же способом, как посмотреть закрытую страницу «В Контакте», можете просматривать все остальные, спрятанные от посторонних глаз, данные.

Также, чтобы открыть закрытую страничку с данными, можно прибегнуть к использованию какой-либо из программок, предназначенных для взлома таких аккаунтов. Например, в той же вышеозначенной соцсети существует он-лайн шпион. Получив к нему доступ посредством отправки смс на короткий номер, вы можете с его помощью не только входить на закрытые страницы, но и читать переписку, которая на них ведется, а также видеть, кто из пользователей посещал ваш профайл.

Конечно, всем интересно, как посмотреть закрытую страницу «В Контакте», но можно ли как-то защитить свои данные от взлома, ограничить их просмотр, предотвратить со своего аккаунта рассылку спама? В принципе, можно, но все равно это не стопроцентная гарантия, ибо желающие влезть в ваше всегда отыщутся. Прежде всего, постарайтесь не пользоваться слишком простыми паролями . Человеку, который спит и видит, как посмотреть закрытую страницу «ВКонтакте», не составит особого труда их подобрать. Не используйте в качестве паролей те данные, которые слишком легко узнать, например, день рождения или номер телефона и т.п. Помните, что адрес вашего электронного почтового ящика вместе с паролем зашифрован в файле cookie, и украсть его знающие граждане смогут очень легко.

Но самый оптимальный способ сохранить всю информацию о себе в секрете - это либо не заводить аккаунт вообще, либо не выкладывать в своем профайле ту информацию, которую другие видеть не должны. У взломщиков найдется тысяча и один способ, как посмотреть закрытую страницу «В Контакте», ибо этот портал, равно как и все другие, имеет свои «дыры» и лазейки.

Набор антивирусов - посетители сайта ремокмендуют!

Сегодня мы поговорим как посмотреть закрытые фотографии и альбомы в контакте. Альбомы будут отображаться только, если пользователь закрыл от публичного просмотра свою страницу, а не скрыл полностью альбомы от просмотра. После закрытия альбома просмотр становится не доступным.

На самом деле не все так страшно. Есть один хитрый способ, который позволит обойти это недоразумение. Никаких дополнительных программ скачивать не придется.

Для просмотра фотографий со скрытых страниц в контакте ру надо проделать следующее:

Примечание: идентификатор человека не всегда отображается, вместо него может быть прописан его ник, имя, фамилия или какая либо фраза. И тут возникает вопрос как узнать его идентификатор. А узнать его можно очень просто:

1. Запускаем оперу.
2. Кликаем правой кнопкой на аве, выбираем «свойства»
3. Видим строчку «Адрес» и в нем после буковки «u» наблюдаем его id

Привет еще раз, как видите сегодня уже второй пост от меня. Не знаю, может эта статья покажется Вам смешной, но в связи с тем, что у меня вчера спросили как скрыть фотографии в Контакте я и решил об этом написать, может еще кому-то пригодится.

В социальной сети ВКонтакте фотографии с Вами видны всем пользователям, что не очень то и хорошо, не знаю, может это кому-то и нравится 🙂 Но я думаю, что много кто хотел бы их скрыть, или показывать только друзьям. Сегодня я напишу как это сделать.

1. Заходим на vk.com , входим на сайт под своими данными.

2. Справа нажимаем “Мои настройки”

3. На странице с настройками переходим на вкладку “Приватность”

4. Попадаем на вот такую страничку:

На этой странице находим “Кто может смотреть фотографии со мной” (как видите у меня стоит “Только друзья” ) Вы же можете запретить вообще. Нажмите на “Только друзья” или “Все пользователи” и откроется окошко в котором выберите вариант, который Вам подходит. И не забудьте нажать “Сохранить”. Вы так же сможете выбрать конкретно тех, кому фото не будут видны, или же тех кому будут.

О том, как скрыть альбом и запретить его комментировать, читайте .

Обновление: новый способ скрыть фотографии.

В комментариях к этой статье начала появляться информация о том, что в настройках пропала возможность скрыть фотографии. Проверил и это действительно так. Пункта «Кто может смотреть фотографии со мной» нет. Говорят что альбомы скрывать так же нельзя, проверил, там все без изменении. В настройках конкретного альбома можно запретить его просмотр и комментирование.

Но! В настройках появился пункт “Кто видит фотографии, на которых меня отметили” . По сути, это те же “фотографии со мной”. так что ничего не изменилось, просто поменялось названия в настройках. Для того что бы скрыть фотографии, просто напротив “Кто видит фотографии, на которых меня отметили” выберите нужное вам значение.