ok.ru: Обход функций закрытого профиля, получения возможности комментировать закрытые подарки и просматривать их

Insecure direct object reference allowed posting comments to user gifts despite of privacy settings. Уязвимость позволяла создавать комментарии к подаркам пользователя даже если это запрещено настройками приватности...