vk logup zip что это такое
Слив личных данных ВКонтакте через поиск документов
Сегодня поговорим о некой уязвимости ВКонтакте, при правильном использовании которой, это будет отличным инструментом. ВКонтакте уже давно предоставляет часть данных с нашей личной переписки сторонним личностям.
Например, представьте Вам пишет незнакомый человек и личным сообщением, скидывает те видеозаписи, которые Вы отправляли своим друзьям, опять же через личные сообщения. И эти видео никто не мог знать и видеть. Но и это не единственный пример того, как можно получить информацию, которая проходит через личные сообщения. Поэтому рассмотрим сегодня другой интересный пример.
Перейдём в личную переписку абсолютно с любым человеком.
Рядом с написанием сообщения, нажмём на скрепку и выберем раздел «Документ».
И здесь мы видим, что в данном списке отображаются те документы, которые сохраняли или загружали мы сами. Но что, если мы поищем документ, которого у нас нет в списке загруженных, ведь ВКонтакте предоставляет сделать поиск по другим документам.
Наберём в поиске данного окна, слово «слив», и у нас появляются все персональные документы, которые при этом не лежат в открытом доступе. И мы можем скачать и посмотреть абсолютно любой из этих документов. Выберем к примеру «Слив почты.txt»
Как итог, в документе содержался «слив» логинов и паролей к email-адресам почты. При этом, мало того, что мы видим содержимое этих документов, так ещё и можем посмотреть кто эти документы загружал. Просто наводим курсор на название документа в списке, и с левого нижнего края видим ссылку вида: https://vk.com/doc452523412_455355639
Нажав правой кнопкой по этому документу, мы можем «Копировать адрес ссылки».
На открытой новой вкладке, вставляем данную ссылку, меняем «doc» на «id», и убираем всё, что идёт после подчеркивания.
Получаем ссылку вида: https://vk.com/id452523412
И то, что мы проделали, это только один запрос, один документ, один пользователь. Возможностей и вариаций в этом способе очень много. Имейте ввиду, что это не призыв к действию, шантажу и угрозам. Но так или иначе повторюсь, что ВКонтакте сам даёт доступ к этим документам и таким возможностям.
Ну и также можно увидеть в поиске и разного рода документы, слитые базы данных, прокси, концепты и архивы на файлы Фотошопа (.psd) какого-либо сайта, причем авторские работы. И даже можно найти будущие заготовки текстов на песни, которые ещё никто не слышал и не видел. А Вы пробовали пробить слово «Навальный»? Среди найденных там документов есть самая настоящая утечка информации! Документы с «парсерами ютуба» также можно там найти по данной политической теме.
В общем и целом, в итоге можно сказать, что сам ВКонтакте таким образом сливает информацию, и разузнать некоторые вещи не составит большого труда.
После логаута пользователя VK можно получить управление его страницей
Решил попробовать себя в работе с API Вконтакте и наткнулся на интересную особенность.
Один из способов авторизации в API — это OAuth. Вкратце всё происходит так: создаёте приложение ВК, получаете его ID, а затем отправляете браузер пользователя на адрес:
Это авторизация методом Implicit flow.
Если пользователь залогинен, ему будет сразу предложено установить приложение, если нет — вначале залогиниться, а уже потом устанавливать. Если приложение уже установлено, то идёт сразу переход на страницу, в хэше которой будет токен. Дальше идёт работа с API.
Самое интересное начинается после выхода из ВК. Ваше приложение может иметь ссылку на выход вида vk.com/login.php?op=logout. Это стандартная ссылка на выход из VK. Но после выхода пользователя из VK куки остаются рабочими.
Таким образом, если опять показать страницу авторизации, ввести совершенно другой логин и пароль — вы всё равно сможете пользоваться страницей первого пользователя.
Т.е. работа ведётся следующим образом — пользователь П1 авторизуется ВКонтакте через приложение. В приведённом примере я использую standalone-приложение, но, возможно, получится и с другими видами приложений. Дальше пользователь П1 нажимает на ссылку выхода из ВК, приведённую выше. После этого ни через браузер, ни через приложение зайти в ВК без авторизации не получится. Дальше пользователь П2 авторизуется через приложение. Затем, уже через браузер пользователь попадает на страницу пользователя П1, вместо своей страницы П2. И может делать с этой страницей абсолютно всё, что угодно, приложение на данном этапе уже не нужно и не играет никакой роли.
Самое смешное то, что вы можете использовать в вашем приложении самые безобидные права. То есть не нужно пугать пользователя тем, что вы просите доступ к фоткам, аудио, видео, сообщениям и всему остальному. Можно оставить только базовые — и всё. Куки при этом всё равно будет полностью рабочими, используя их вы попадёте прямиком на страницу пользователя.
Можно ли считать данную особенность уязвимостью — думайте сами. По-моему, это как минимум не то, чего ожидает пользователь, нажимая на кнопку «Выход» и надеясь на то, что теперь уж его страница в безопасности.
При написании данной заметки ни один пользователь ВК не пострадал.
UPD. При авторизации использовался браузер IE7.
В поддержку я писал задолго до того, как опубликовал статью на здесь. Собственно, публикация статьи здесь и произошла в результате того, что поддержка данный сигнал проигнорировала в духе «это не баг, а фича, но, возможно, что-то изменится в будущем».
О том, как ВКонтакте собирает информацию о нас
Сегодня, ковыряя отснифеный трафик официального приложения ВКонтакте под Android, пытаясь найти особенности, по которым API отсеивает официальные приложения для получения музыки, я наткнулся на запросы довольно интересного содержания.
Автор: Владислав Велюга (vlad805)
Disclaimer
Update 6
А еще давайте сразу, вот что ответил (где-то) Андрей Рогозов про данную информацию.
Предисловие
Результаты
Проснифив только авторизацию, аудиозаписи и вообще первые минуты после авторизации в приложении, уже можно поймать все эти странные запросы. Итак:
Довольно часто промелькивали запросы к некоему сервису vigo.ru. Сервис позиционирует себя как аналитика в передаче, поиска ошибок, проблем и обработке видео. Но странно, ведь я всего лишь авторизовался, перешел в аудио и пролистал свою стену, где не было ни единого видеоролика (которые должны были автоматически проигрываться?), а запросов скопилось около 5-7 штук. Помимо notify еще был network_status. 
Приложение делает бенчмарки и зачем-то передает время запроса к API и время загрузки изображений. Видимо, усредненные данные. 
Чуток не негатива: приложение отправляет сообщения об ошибках, если, например, была попытка загрузить изображение (например, оно было прикреплено к посту), но произошла какая-то ошибка. На скрине предоставлен пример, когда изображение просто отсутствовало на сервере (ошибка 404 Not Found). upd: хотя вот попался момент, когда state=success и никаких других «опознавательных знаков» не было. 
С видеозаписями обстоят дела еще хуже. Здесь передается информация о таких событиях как «volume_on», «volume_off» (видимо, включение/выключение звука, но это неточно), «fullscreen_on», «fullscreen_off» (переход и выход в/из полноэкранного режима), событие «video_play», которое просто отсылает текущую позицию просмотра видео, где-то с периодичностью 10-20 секунд. upd: хотя вот Андрей подсказал идею, для чего это сделано: для того, чтобы запоминалось место, на котором пользователь остановился при просмотре видео, чтобы он мог переключиться с мобильного на ПК и на ПК продолжить смотреть с места, где был в последний раз на мобильном. 
При закрытии страницы (активити) с видео, приложение запрашивает метод video.viewSegments, в параметрах которого передаются рейнжы (отрезки) таймкода, которые были просмотрены пользователем.
В Kate Mobile таких сливов замечено не было. Единственное, после ввода в эксплуатацию нового алгоритма выдачи аудиозаписей, и Kate, и официальному приложению нужно обращаться к Google Accounts для получения некого receipt-токена. И всё.
О том, как работают приложения на iOS, Windows Phone мне только можно догадываться. Их пакеты не перехватывал, и устройств не имею.
Повторюсь, такие данные, как ближайшие точки доступа Wi-Fi, текущее местоположение пользователя, а также все его действия не отправляются сторонними приложениями, такими как Kate Mobile, VK Coffee (модификация официального, с вырезанными метриками и пр.), моим сайтом-клиентом APIdog и пр.
Update 2
Друг-разработчик Андрей добавил ещё скринов того, что сливается официальным приложением под Android.
Название точки доступа, к которой подключено устройство, а также другие, которые находятся в зоне досигаемости, их сигнал в dB, MAC-адреса.
Плюсом от него же, вот что отправляет официальное приложение для Windows
Только версию системы, версию приложения, метод ввода.
Update 3
Эдуард Безменов, разработчик модификации официального приложения VK Coffee, прокомментировал этот пост так:
Update 4
Григорий Клюшников, бывший разработчик этого самого приложения, как оказывается, был сам против включения сервисов Vigo в приложение:
А вот, что на самом деле представляет Vigo по описанию Григория:
Отправка местоположения, как оказалось, производится только при просмотре отдельного поста. На аудиозаписи это не влияет, как некоторые стали считать, что в зависимости от региона некоторые треки «скрывается».
Update 5: Ответы от ВКонтакте
Мобильная техподдерка
Денис решил всё-таки добиться ответов на наши вопросы и задал их мобильной поддержке ВК (id333)
Оказывается, Ваше местоположение, данные для таргетинговой рекламы, список установленных приложений и сети Wi-Fi жизненно необходимы для приложения и сайта в целом.
В ответ на последний вопрос, поддержка решила отойти от темы.
О том, как это было получено
Подручные средства
Подготовка: создание сертификата SSL
В phrase key вводим что-то типа пароля. Он нам еще понадобится. Затем его еще раз повторить. Остальные поля можно оставить пустыми/не вводить. По окончанию в текущей директории будет создано два файла.
Подготовка: установка нашего сертификата на устройство
Передаем файл cert.pem на устройство и устанавливаем его в систему. Обращу внимание, что для установки сертификата необходимо, чтобы на телефоне был какая-нибудь защита на экране блокировки (графический ключ, пароль или PIN).
Пошаговая установка сертификата на Android 5.1
Подготовка: переброс портов
Возвращаемся на Linux, вбиваем в терминал:
Подготовка: Ettercap
После установки его запускаем.
Снифинг данных
Конец подготовки: SSLSplit
Далее в терминале ставим sslsplit:
Когда установка завершена, создаем директории:
И в текущей директории (где лежат файлы cert.pem и key.pem)
Выходим из аккаунта в приложении на телефоне.
В текущей директории выполняем:
Вводим phrase key, который указывали при создании сертификата.
В logfile.log будут записываться неполные логи (именно домен, адрес, порт), в директорию logs будут записываться подробные запросы, заголовки и ответы.
Далее авторизуемся в приложении и видим, как в терминале, в logfile.log и в директории logs появляются данные. Для остановки снифинга жмем в терминале Ctrl+C.
Логи в директории logs будут записываться под владельцем и группой root без доступа к чтению и записи от текущего пользователя. Поэтому нужно изменить владельца. В директории с сертификатами вводим
Далее можно просматривать файлы с помощью обычного текстового редактора.
Update
Как позже подсказал Антон, снифинг можно выполнить двумя кликами с помощью приложений для Android, и тогда вот эта длиннющая инструкция не понадобится. Но. кому как удобнее.
Благодарности
Также выражается благодарность Константину за наводку и подробную инструкцию по снифингу.
GrandGuide | Мы ответим на Ваши вопросы
Разработчики ВКонтакте позаботились о том, чтобы пользователи могли посмотреть и при необходимости восстановить архив данных — это все фотографии, видеозаписи и даже удаленные сообщения. Где находится архив ВК? Его можно получить, запросив по специальной ссылке и скачать архив в виде zip файла на свой компьютер. Итак пошагово разберем, как запросить архив данных ВК в 2020 году!
Как скачать архив данных в ВК: запрос, восстановление
Как скачать архив данных в ВК? Прежде всего следует отметить, что запросив личный архив ВКонтакте Вы получите:
Обратите внимание, что архив будет доступен в формате zip (зип) файла, так что скачать и посмотреть его удобнее на компьютере. Однако, в принципе ничего не мешает получить архив ВК на телефоне. Также следует помнить, что удаленная информация хранится на серверах ВКонтакте определенное время, так что данный способ не позволит восстановить архив сообщений, которые вы удалили 5 и более лет назад.
Итак, запросить и скачать архив ВК можно следующим образом:
Вы спросите, и где найти архив ВК? Все просто. Как только Вы отправите запрос, появится новое уведомление, а затем Вы получите сообщение от администрации ВК. Как только частный архив диалогов и прочей информации будет готов — Вы получите новое сообщение и ссылку, по которой можно скачать домашний архив себе на компьютера или смартфон (Андроид и Айфон)!
Остается лишь скачать архив ВК и подтвердить действие через номер телефона (вам позвонят со специального номера, потребуется ввести последние 4 цифры входящего вызова).
Вот таким образом и можно достать и смотреть архив в ВК! Можно ли отменить запрос на создание архива в ВК? Нет, если Вы отправили запрос, то ссылка на скачивание архива будет направлена Вам в смс от администрации ВКонтакте!
Сколько времени готовится архив ВК
Сколько времени готовится архив ВК? На обработку заявки и восстановление архива уйдет некоторое время (как правило несколько часов, но иногда процедура может растянуться на несколько суток). Так что нужно ждать несколько часов, после чего Вы сможете выгрузить архив из ВК на свой телефон или другой девайс.
Как пользоваться архивом ВК
Как пользоваться архивом ВК? Прежде всего zip архив необходимо открыть и распаковать файлы. Информация в архиве структурирована по разделам (сообщения, группы, сообщества, друзья, фотографии и прочее), так что им достаточно удобно пользоваться!
Нужно лишь открыть нужную папку и открыть конкретный файл любым браузером. Здесь можно посмотреть и прочитать каждое отправленное и полученное сообщение ВКонтакте.
Почему не получается скачать архив ВК? Если архив ВКонтакте не скачивается, то следует проверить интернет соединение на своем устройстве!
Теперь Вы знаете, как заказать и скинуть архив данных ВК на свой телефон и компьютер в 2020 году!
Vk logup zip что это такое
ВКонтакте всегда развивалась по принципу открытости. Мы считаем, что люди должны иметь возможность свободно самовыражаться, делиться мнением и легко получать доступ к интересным материалам.
Наши сервисы позволяют Вам знакомиться с людьми и делиться важными жизненными моментами. При этом Вы сами выбираете, что именно и кому рассказать. В этом разделе мы объясним, как можно управлять информацией и защищать её от злоумышленников.
И делаем это без ущерба Вашей приватности. Мы изучаем, как Вы используете ВКонтакте, чтобы лучше понимать Ваши потребности и создавать уникальные сервисы — вроде умной ленты новостей, музыкальных рекомендаций, поиска друзей и персональных уведомлений.
К примеру, если Вы любите смотреть в разделе Рекомендации видео от звёзд киберспорта или читать статьи о вкусной еде, мы будем предлагать Вам больше похожих публикаций и продолжим развивать продукт с учётом Ваших интересов.
Неприкосновенность частной жизни — фундаментальное право человека. Наряду с правом на поиск, получение и распространение информации.
Вы сами решаете, чем именно поделиться и с кем. ВКонтакте предоставляет предельно простые и понятные настройки приватности. Например, можно сделать так, чтобы только друзья имели возможность приглашать Вас в сообщества, а публиковать записи на своей странице могли только Вы сами.
Интернет — это открытая площадка, но каждый пользователь имеет право на конфиденциальность. Узнайте больше о том, какую информацию Вы оставляете ВКонтакте и как мы с Вами можем управлять этими данными.