ВКонтакте не платит исследователям за найденные уязвимости, но и не рассматривает их...

Недавно ВКонтакте запустила свою программу вознаграждения за уязвимости (Bug Bounty) на базе Hackerone. Но оказывается, они долго не рассматривают репорты, но еще и исправляют баги и уязвимости... Исследователь @ethoz нашел уязвимость (вернее баг...) в таргетированной рекламе социальной сети ВКонтакте.

Вот отчет, который отсылал во ВКонтакте 31 мая (!!!):

Здравствуйте. В Таргетинге по модели CPC имеется, на мой взгляд, серьёзный баг позволяющий крутить рекламу, с любой стоимостью клика, безлимитно и почти бесплатно. Для POC понадобится:

  • Создать любую рекламную кампанию с оплатой CPC.
  • Установить для неё лимит в 100 рублей, т.к. меньше нельзя.
  • Потратить в ней 100 р., для достижения минимального лимита.
  • Теперь можно выставить любую стоимость клика от 0,5 до 100. Возьмём, к примеру — 10 руб.
  • Установить лимит в 110 р.
  • Запустить кампанию.
  • Обновлять страницу кампании до изменения статуса с «Запускается» на «Запущено».
  • Уменьшить лимит до 100 р.

Далее, в статистике, будут отображаться показы и охват, всё как обычно. После того как произойдёт клик, кампания остановится и этот клик не отобразится в статистике. Деньги при этом не спишутся! Хотя пользователь будет успешно перенаправлен на рекламируемую страницу. Это можно наблюдать в логах сервера, куда будет перенаправлен пользователь.

В итоге безлимитный таргетинг обходится — 100 рублей на кампанию. При всём этом, в несколько строк кода, процесс можно успешно автоматизировать и распараллелить на нескольких аккаунтах.

Не берусь оценивать, так как понятия не имею об архитектуре системы, но очень похоже на логический баг. О серьёзности судить вам :)

Надеюсь, репорт был полезен для вас.

 

Более подробно и с комментариями Вы можете прочитать на Хабре