Голосовые сообщения некоторых пользователей «ВКонтакте» больше месяца находились в открытом доступе. Их можно было прослушать и даже узнать страницу отправителя. На это баг сайта обратили внимание пользователи сайта 2ch.pm.

Несколькими часами ранее для того, чтобы найти голосовые сообщения, нужно было в разделе «Документы» ввести в поиске «audiocomment.3gp». В результатах отображались более 2,5 тысячи аудиосообщений. А при нажатии на файл «ВКонтакте» любезно показывал id страницы того человека, кто его записал. Сейчас эту погрешность уже устранили, но найти сообщения и скачать их все еще можно, введя в строку поиска слово «opus».

Как пишет TJ, причина уязвимости кроется, скорее всего, в недоработке разработчиков сторонних клиентов. Предполагают, что доступны были только те голосовые сообщения, что отправлялись через приложения вроде VK Coffee или Kate Mobile. 

Пресс-служба «ВКонтакте» тем временем заявляет: Уязвимости «ВКонтакте» нет – все голосовые сообщения в приложении «ВКонтакте» защищены. Никто, кроме самих участников переписки, не сможет получить к ним доступ. По нашим данным, в раздел «Документы» попала часть аудиосообщений, которые пользователи загружали через сторонние неофициальные приложения. Мы настоятельно рекомендуем использовать официальные приложения «ВКонтакте».

А вот сторонние приложения не согласны. В Telegram-канале VK Coffee подчеркнули, что к инциденту никакого отношения не имеют. Разработчик Эдуард Безменов пояснил, что не менял реализацию голосовых сообщений, а формат .3gp. и вовсе не эксплуатируется. «Даже если проблема возникла вследствие неофициального клиента – это проблема разработчиков ВКонтакте в API, которые не поставили соответствующие ограничения и фильтры», – подытожил Безменов.