Прошлый раз я рассказывал про дырень дырищу в мейл.ру (пост собрал 10,5 тыс. посетителей), а сегодня давайте познакомлю вас с дыренью в популярной базе данных ФСБ социальной сети, объединяющей миллионы российских пользователей по всему миру — . Дыра заключается в том, что можно посмотреть закрытые для “недрузей” фотки. Правда же, приятная дыра?!
Внимание, для всех манипуляций со ссылками вконтакте.ру нужно зарегистироваться и залогиниться. Наверное это сделано для безопасности пользователей соц.сети. Впрочем, о безопасности чуть ниже. 
Когда мы просматриваем профиль пользователя вконтакте, то адрес выглядит следующим образом:
http://vkontakte.ru/idXXXXX, где XXXXX — цифровой айди пользователя.
Например, всем известно, что под номером живёт пользователь , создатель вконтакте.ру, а под номером .
Если пользователь вконтакте решил скрыть свой профиль от просмотра посторонними лицами (например только для друзей), то его адрес вида http://vkontakte.ru/idXXXXX автоматически приобретёт вид: http://vkontakte.ru/search.php?id=XXXXX.
Например, пользователь под номером 2, скрыл свой профиль. Убедитесь —
Таким образом, профиль пользователя вконтакте можно посмотреть двумя способами:
1. http://vkontakte.ru/idXXXXX
2. http://vkontakte.ru/search.php?id=XXXXX
Используя второй вид адреса, который с “search” (ниже объясню почему), я стал , в поисках скрытых фото-альбомов и нашёл такой у профиля под номером :
А теперь нам и пригодится этот “search” — просто берём и меняем в адресной строке браузера “search” на “photos”:
и смотрим фотографии!
Можно прислать ссылку на любую фотографию другим “недрузьям” пользователя под номером 8. Например вот такую:
Но самое удивительное — это то, что пользователь с айди №8, фотографии которого мы сейчас посмотрели, ВООБЩЕ удалил свой эккаунт!
висит под именем “Меня зовут Аки” в профиле :
Незнакомца под номером 8 прошу не злиться. Все претензии отправляйте Дурову.
Заканчивая этот рассказ, не могу не вспомнить чудную иллюстрацию из предисловия Курта Воннегута к своему роману :
Эта книга — мой подарок самому себе к пятидесятилетию. У меня такое чувство, будто я взобрался на гребень крыши, вскарабкавшись по одному из скатов.
В пятьдесят лет я так запрограммирован, что веду себя по ребячески; неуважительно говорю про американский гимн, рисую фломастером нацистский флаг, дырки в заднице и всякое другое. И чтобы дать представление о том, насколько я зрелый художник, я помещаю здесь иллюстрацию — вот эта дырка:
Я знаю немало детей в возрасте 9-10 лет, активно пользующихся этой социальной сетью и мне эта дыра совсем не нравится.
Резюме всему вышесказанному таково:
Даже если фотоальбомы закрыты от просмотра недрузьями, их можно легко посмотреть, используя адрес вида:
http://vkontakte.ru/photos.php?id=XXXXX, где XXXXX — цифровой айди пользователя вконтакте.Попробуйте, например, пользователя с номером 8. У него эккаунт вконтакте ВООБЩЕ удалён.
ps: Воннегута рекомендую читать в переводе Райт-Ковалёвой. По ссылке на альдебарановского Воннегута вместо “дырка в заднице” использовано какое то непонятное “задики”. Фу.
ps2: а у Экслера есть .
ps3: я не хакер. Хакерам там наверное вообще раздольно живётся.
Важный update:
как выяснилось, фотографии будут оставаться доступными (публичными) до тех пор, пока вы не зайдёте в настройки каждого фото-альбома и не установите там опцию “только друзья”!
Просто установить “Только мои друзья” в разделе настроек “Кто может смотреть мою страницу” или выбрать “Никто, удалить страницу” недостаточно!
Ещё update от 20 января 2011:
чтобы увидеть скрытые альбомы с фотографиями наберите http://vkontakte.ru/albumsХХХХХХ где ХХХХХХ — цифровой id пользователя вконтакте.ру. Например возьмём пользователя с id под номером 4. Вот его, якобы, ограниченный для нефрендов профиль а вот его альбомы Таким образом, стало ещё проще и лучше!
Related Articles:
Ерунду пишете. Альбомы, которые вы видите, пользователь разрешил просматривать всем. Закрытые альбомы, изменив ссылку, не просмотреть ну никак.
ABC, ерунду пишете Вы. Я только что посмотрел фотографии кучи пользователей, страницы которых доступны только их друзьям. Я просто листал наугад. Давайте свой айди, проверим?
И потом, пользователь с id=8 удалил свою страницу. Нормально да? :)
update: ок, возможно Вы и правы, если в настройках самого фото-альбома поставить «только друзья», то возможно его и не видно будет. Ща проверю.
Но многие же просто скрывают свой профиль для друзей, а фотографии при этом остаются доступными!!!
Дыра по любому. Имхо.
Эта фича уже давно известна...
valker, тогда нужно стать экспертом вконтакте, чтобы эту «фичу» прибить нафик.
А объясните практическую пользу этой фичи и такую реализацию?
Простой пользователь-чайник скринит в настройках свой эккаунт «только для друзей» и вдруг обнаруживает спамерский комментарий под одной из личных фотографий. Клёвая фича, блин! Булочка с изюмом Ивана Филиппова это, а не фича Дурова!
— Э-тто что? Таракан?! — и сует сайку с запеченным тараканом. — Э-тто что?! А?
— И очень даже просто, ваше превосходительство, — поворачивает перед собой сайку старик.
— Что-о?.. Что-о?.. Просто?!
— Это изюминка-с!
И съел кусок с тараканом.
Гы! Работает!!! Альберт, чем ты не доволен? Держи свое недовольство при себе!
Что у тебя работает и что мне нужно держать при себе, Антон Музарский?
ABC — для проверки надо всего пять минут. Опа — работает.
Valker — ссылку пожалуйста!
ну и вся группа:
а как просмотреть альбом, который находиться в другой категории?? к примеру у подруги есть много альбомов для своего мальчика. и видет их только он, так как она поставила его в раздел СЕМЬЯ. И кроме него не кто даже и не знает о их существованиях!\\ как их увидеть???
Олег, надо попасть в эту категорию (СЕМЬЯ) :)))
А в нее как попадешь, в эту категорию «семья» — уже никогда не выбраться )))
имхо, это не дыра.
внимательнее просто надо быть. пользователям.
разрешили смотреть альбом «Всем», так чего ж на зеркало пенять.
Vara! Давно Вы у нас не были! Спасибо, что не забываете. :)
Кому ж это «всем»? Если страничка пользователя скрыта от недрузей (а альбомы открыты «всем»), то на этой страничке нет никаких ссылок на фотоальбомы! Подразумевается, что они скрыты. Из ссылок видны только три:
* Отправить сообщение
* Друзья пользователя
* Добавить в друзья
Почему же тогда отсутствует публичная ссылки на открытый фотоальбом при таких настройках? Более того, многие уверены, что их фотоальбомы никто не видит!
На мой взгляд это всё же дыра, которая, якобы, дырой не является. Почему на таких глупостей нет?
Согласитесь, vara, закрывая в настройках свою страничку от недрузей, логично чтобы эта настройка автоматически стала настройкой по умолчанию для всех моих видео, фото и прочих заметок. Разве нет? А уже если я захочу сделать публичной фотографию или фотоальбом я хочу это сделать выборочно.
Дыра, а не фича.
А фича должна быть полезной и удобной.
у меня кто-то удалил все мои альбомы... их никак восстановить нельзя?
Машка, этот «кто-то» наверняка знает про существование ещё одной «фичи», о которой мы пока не знаем!
Довольно интересная фича. Думаю на этом дырявость контакта не ограничивается.
а еще там сидят сами ФСб-ник и ничо...и альбомы свои вшают...для друзей...
Ну,Бог с ней с этой дырой.
Ясеньпень...если есть вход,есть и выход.Нет желания,чтобы в инете не было личной информции, лучше не покупать модем:))ИМХО
Полный контакт.
Так-с девочки и мальчики, давайте сегодня немного поучимся не быть лохами В Контакте.
Во-первых если вы завели там аккаунт то вы уже лох.
Во-вторых теперь вам придется проявлять бдительность что-бы не стать лохом дважды.
Итак как же привести в исполнение второй пункт? В последнее время появилось несколько сайтов предлагающих вместо кривых граффити которые вы там рисуете своими кривыми ручонками, вставлять на стены своих друзей красивые фотографии. И как показала статистика большинство посетителей не стало медлить с использованием данной услуги. В то же время участились случаи кражи паролей, порчи страниц, рассылки спама с аккаунтов обычных юзеров. Например недавно proridersha сама о том не ведая приглашала всех на хэллоуин вечеринку в Питере. Взаимосвязь ясна?
Так что же это за сайты?
1) vkonpic.googlepages.com. Предлагает скачать пагу в которой ты потом как примерный лох введешь мыло (оно же логин на сайт), пароль и, нажав на «окей», отправишь сокровенную информацию в логово сатаны. Причем она добросовестно выполнит свою основную функцию, но не забудет и про скрытую — спереть пасворд. Возможно это не единственное что она умеет. Упоминающийся в название гугл может помутить бдительность некоторым лохам, считающим лидера в сфере интернед-поиска гарантией конфиденциальности.
2) freestudents.ru/vkontakte/graffiti.php Этот предлагает находясь на сайте вбить в адресную строку «javascript:document.write (document.cookie);» и вставить к нему в окошко результат. Вбиваем, что видим?
remixemail=kvazar21%40xxxxx.com (почта/логин); remixpass=msnbxzv5vm345bn54mb3 (пароль в зашифрованном виде)
3) pro-exe.com/vkontakte/index.php. Гарантирует то что использование сервиса абсолютно безопасно, то есть это сайт для самых хардкорных лохов. Предлагает залогинится на странице похожей на сайт ВКонтакте.
4) elets.net/vkontakte/. Еще одна вариация введения куска кода в адресную строку. Палит ваши cookies стороннему сайту.
5) vkontakte.at.ua/index/0-5/ Предлагают авторизироваться, чтобы «включить просмотр скрытых друзей и альбомов». Ворует Ваши пароли.
6) vkontakte-ru.by.ru/smiles/ Предлагают авторизироваться, чтобы «включить модуль смайлов». Ворует Ваши пароли.
Наверно их в два раза больше, делать обзор всех не имеет смысла, ибо по сути используют только два способа. Для полных лохов (введи нам свой пароль сам) и для непродвинутых лохов (отдай нам свои кукис, пароль узнаем сами). Если с вашего аккаунта развлекается робот рассылая спам, это еще не так страшно. А вот если какой то инторнед-манъяк, то последствия ограничены тока его фантазией, а фантазия у манъяков хорошо развита.
а что если выводит ошибку: «Вы не можете просматривать фотографии с этим пользователем, так как он предпочел скрыть их в настройках приватности.»???никак нельзя просматривать такие страницы?
F@UST, спасибо за развернутую лекцию! Мы [теперь] — не лохи, лохи — не мы! :)
123, «никак нельзя просматривать такие страницы?» — никаааак, низзззяяя... ай-яй-яй!
Хрень! не работает
Артем, да не волнуйтесь, не могли они так быстро поправить-то ;)
Артём, если что то становится известно, то это очень быстро прикрывают
Не.
все, не пашет уже.
Всё пашет, Сявыч! Не стану приводить реальную ссылку, а создам-ко виртуальную Элеонору Ромуальдовну:
Ну, и подставьте вместо search слово photos!
Подставили?
просто виртуальная «элеонора ромуальдовна» не поставила в настройках «просмотор фотографий только для друзей». Человек который скрывает свою страницу, часто забывает скрыть также свои фотографии, чем и пользуются разные любопытные типы...Сейчас об этом уже почти все знают и скрывают свои альбомы и фотографии. это не дыра это невнимательность пользователей!
Человек который скрывает свою страницу, часто забывает скрыть также свои фотографии, чем и пользуются разные любопытные типы…
Артём, всё понятно и если это фича, то ведь правильнее сделать так, чтобы пользователю сей факт был очевиден на 100%, а не только когда он впишет в яндексе «баги и дыры вконтакте».
Правда же?
Это тупо каждый раз менять search” на “photos вот сылка где вводишь id скрытой страницы и там можно всё просмотреть скрытое этого контакта кроме друзей и всё!!!!!!!!!
СПАСИБОСПАСИБОСПАСИБО!!!!!!!!!!!!!!!!!!!!!!!!:)
а как можно посмотреть фотки закрытой группы?:Р