VK.com: Узнаем несколько цифр номера телефона юзера (можно флудить смс), всего раз узнав его remixsid и его ид юзера, и установка оффлайна юзерам.

2018-08-03T10:44:38
ID H1:390126
Type hackerone
Reporter povargek
Modified 2019-05-10T23:16:24

Description

Недостаточные проверки сессии. Было можно узнать часть номера телефона юзера и отправлять ему смс с ссылкой на приложение (https://vk.com/mobile) всего раз узнав его remixsid, вне зависимости сколько раз были ресетнуты сессии. Самый давний валидный для этой темы remixsid был давности ~ май 2016 года.

Была возможность имея только ид юзера установить ему статус "оффлайн" (т.е. был в сети 1 сек назад и тд) и сбросить ему queue-ключи, что принудительно вызывало /notifier.php?act=a_get_key где был рейт лимит на получение ключей, таким образом можно было отключить юзеру queue серв (нотифиер, не тот что imv4, а queuev4 - те реалтайм события не приходили, кроме тех что в личку идут)