Российские хакеры нашли способ взлома любого аккаунта в Yo
Лев Локтионов и Александр Гребенщиков, двое программистов, известных взломами «ВКонтакте», обнаружили критическую уязвимость в мессенджере Yo. Они выяснили, что процедура восстановления доступа к аккаунту в Yo отправляет проверочный код на номер мобильного телефона, однако не проверяет, принадлежит ли он владельцу аккаунта.
Как оказалось, на странице восстановления пароля можно ввести любое имя пользователя и получить ссылку для изменения пароля, введя свой номер телефона. Гребенщиков обнаружил эту уязвимость «методом тыка», а Локтионов придумал, как присваивать аккаунты с помощью панели разработчиков сервиса.
Хакерам удалось отправить сообщения через Yo от чужих аккаунтов — например, YO, DUROV и TJOURNAL. Помимо этого, они получили доступ к личному аккаунту технического директора TJournal Ильи Чекальского и привязанным к нему вспомогательным профилям, после чего TJournal перестал присылать уведомления о новых статьях через Yo.
Вместе с сообщением о взломе Yo хакеры прислали в редакцию TJournal скриншот из панели разработчика, в которую они вошли из-под взломанного аккаунта Чекальского.
Получить доступ к адресной книге Yo хакерам не удалось. Как выяснилось, при повторном логине список контактов не сохраняется. TJournal сообщил представителям Yo о найденной уязвимости, однако не получил оперативного ответа.
Локтионов и Гребенщиков стали известны после взлома страницы Павла Дурова во «ВКонтакте» и эпидемии репостов в соцсети, произошедшей в ноябре 2013 года. При помощи специального приложения во «ВКонтакте» другие пользователи размещали у себя на странице репост записи друга программистов, просто переходя по ссылке в нём.
© TJournal
