Миллионы пользователей социальной сети «ВКонтакте» по-прежнему доверяют свои секреты «анонимным» сообществам. Тем временем «ВКонтакте» по-прежнему оставляет злоумышленникам шанс узнать, кто же стоит за этими сообществами.

В начале мая на «Хабре» была опубликована статья, в которой рассказывалось об ещё одном способе узнать, кто является автором опубликованной записи, а кто — опубликовавшим её администратором. Позже об этом упоминалось и на TJournal.

На этот раз уязвимость была найдена уже в другом методе небезызвестного API «ВКонтакте», под названием wall.getReposts. Суть уязвимости заключается в следующем: если сообщество сделало репост чужой записи, то получая список репостов исходной записи, можно засветить того, кто сделал этот репост. Вроде бы всё верно, метод для того и создан. Но если репост был сделан в сообщество или группу, то засветится id того, кто этот репост сделал.

Далее: tjournal.ru/28415-novaya-uyazvimost-vkontakte-s...