Способы деанонимизации руководителей сообществ и приложений «Вконтакте»

Все описанные способы были отправлены «Вконтакте» через hackerone, но «Вконтакте» решили, что эти способы не являются проблемами. Решение было принято через 6 месяцев после изменения статуса репорта на «Triaged». Я пытался переубедить, но ответа не увидел.

Многие продемонстрированные ссылки у вас работать не будут, т. к. они разные для всех.

Деанонимизация руководителей сообществ


Через видеозаписи

При ограниченном доступе добавлять новые видеозаписи могут только редакторы и администраторы сообщества.

На странице видеозаписей сообщества есть вкладка «Загруженные», в которой отображаются только видео, загруженные с компьютера. Если видеозаписи сообщества ограничены, то во вкладке «Загруженные» отображаются видеозаписи, которые загрузили руководители. Проблема в том, что прямые ссылки на видеозаписи содержат идентификатор загрузчика. Посмотрев идентификаторы можно деанонимизировать руководителей.

Пример на созданном сообществе: <a href="https://vk.com/club143400909" style="color: rgb(153, 0, 153); text-decoration: none; font-family: Verdana, sans-serif; line-height: 22.3999996185303px;">vk.com/club143400909



Вытягиваем прямую ссылку или hls-поток на видеозапись: vk.com/video-143400909_456239017
Прямая ссылка: cs632300.userapi.com/4/u237115941/videos/5115525024.240.mp4
Hls-поток: cs632300.userapi.com/video/hls/4/u237115941/videos/5115525024/index-f1-v1-a1.m3u8
Видим, что руководитель — vk.com/id237115941
Пример на сообществе: vk.com/meduzaproject (они разрешили)
Видеозапись: vk.com/video-76982440_456239236
Прямая ссылка: cs632603.userapi.com/1/u1564856/videos/84c5da2b5a.240.mp4
Руководитель: vk.com/id1564856
Видеозапись: vk.com/video-76982440_456239231
Прямая ссылка: cs632606.userapi.com/3/u464017/videos/7ec04da5ac.240.mp4
Руководитель: vk.com/id464017
Всего по всем видеозаписям было найдено 4 руководителя

Также есть возможность деанонимизировать руководителя по обложке от видео с другого источника (youtube, rutube и др.). В ссылке на обложку содержится идентификатор первого загрузчика этого видео на vk.com, т. е. этим способом можно деанонимизировать только зная, что видео загрузил руководитель и он был первый. Это может быть результат конкурса или что-то еще.

Видео: vk.com/video-143400909_456239018
Ссылка на обложку: pp.userapi.com/c836123/u237115941/video/l_5881cb5e.jpg
Видим, что руководитель vk.com/id237115941

Через аудиозаписи


Проблема в том же. Прямая ссылка на аудиозапись содержит идентификатор загрузчика. Нигде не отображается, добавлена аудиозапись из поиска или загружена с компьютера, поэтому этим способом можно деанонимизировать только зная, что аудиозапись загрузил руководитель. Такие аудиозаписи могут выделяться (запись эфира с радио и т. п.).

Аудиозапись в сообществе vk.com/club143400909: Мелодии – Карело-финская полька
Прямая ссылка: psv4.userapi.com/c815220/u237115941/audios/eb9137fb510b.mp3
Видим, что руководитель vk.com/id237115941

Пример на сообществе vk.com/meduzaproject
Аудиозапись: «Медуза» – Как узнать, сколько стоят «фужеры» Собянина?
Прямая ссылка: psv4.userapi.com/c613316/u1564856/audios/1cb08ff13792.mp3
Руководитель: vk.com/id1564856

Через документы


Прямая ссылка на документ содержит идентификатор загрузчика. Зная, что документ загрузил руководитель можно деанонимизировать. Многие загружают информацию о проводимых конкурсах, правила группы.

Пример на созданном сообществе vk.com/club143400909
Документ: 1.ts
Прямая ссылка: cs7064.userapi.com/c812339/u237115941/docs/c134bbccadba/1.ts

Если документ является изображением, то можно деанонимизировать по маленькой копии.

Документ: G.png
Ссылка на маленькую копию: pp.userapi.com/c812235/u237115941/-3/m_56c1679b77.jpg
Видим, что руководитель vk.com/id237115941

По концу идентификатора


Этот способ можно комбинировать с другими способами. Прямая ссылка на загруженное изображение содержит конец идентификатора загрузчика. Можно получить список всех участников сообщества и отобрать тех, у кого конец совпадает. Если сообщество маленькое, то скорее всего в результате будет 1 страница, если большое, то несколько, но там точно будет руководитель. Также можно деанонимизировать автора записи, если в записи есть загруженное изображение. Если сообщество большое и в результате отбора много идентификаторов, то можно получить список нажавших «мне нравится» записи и отобрать (вдруг автор нажал).

Прямая ссылка на фотографию группы: pp.userapi.com/c836123/v836123941/2362f/5TA-jc1s8Q0.jpg
Конец идентификатора: 941
Руководитель сообщества vk.com/id237115941
Прямая ссылка на обложку сообщества vk.com/meduzaproject:
cs7064.userapi.com/c639129/v639129017/92f9/itZoAG-k1GQ.jpg
Конец идентификатора: 017
Руководитель: vk.com/id464017

Деанонимизация главного администратора приложения


В настройках приложения можно загружать иконку приложения 16x16, которая после загрузки получает ссылку, в которой присутствует идентификатор страницы администратора. В ссылке на иконку всегда отображается идентификатор главного администратора, даже если иконку загрузил неглавный администратор, а другой пользователь-руководитель с правами. Также раскрыв администратора приложения, вы еще раскрываете руководителя сообщества приложения, т. к. группу в настройках приложения можно установить, если являешься в ней руководителем.