Илья Глебов

Как школьник из Мончегорска, готовясь к ЕГЭ, нашел уязвимость во «ВКонтакте» и заработал $3000

Илье Глебову — 17 лет, этой весной он заканчивал одну из двух сильных гимназий в Мончегорске — небольшом городе Мурманской области с населением около 40 тысяч человек. Готовясь к ЕГЭ по информатике, школьник случайно наткнулся на статью об уязвимости в Facebook, позволявшей взломать аккаунты в социальной сети. Тот же «трюк», как называет его Илья, он решил попробовать и во «ВКонтакте». В итоге школьник выяснил: уязвимость, позволяющая взломать большинство аккаунтов, есть и в российской соцсети. За находку Илье выплатили две тысячи долларов, еще тысячу добавили в программе bug bounty ICQ, где, как выяснилось, тоже существовала возможность взлома. Впрочем, деньги школьник сможет получить только после восемнадцати, а пока Илья мечтает поступить в вуз на информационную безопасность. О том, как найти уязвимость в крупнейшей соцсети России в перерыве между решением типовых задач по информатике, он рассказал ITMO.NEWS.

Все началось действительно с новости о Facebook? Или ты думал о том, как проверить «ВКонтакте», и раньше?

На самом деле новости про Facebook уже год, она была опубликована в 2016 году. Я ее видел еще тогда, сразу после публикации. Потом она мне снова случайно попалась на глаза. Суть уязвимости заключалась в переборе кодов восстановления на тестовом домене компании. Я подумал, а чем, собственно, «ВКонтакте» хуже? И решил попробовать провернуть подобный трюк у них. Я примерно знаю, как работает «ВКонтакте», поэтому проверить эту мысль было достаточно просто. Хотя это, конечно, не первый раз, когда я пытался проверить что-либо на уязвимость. На HackerOne есть несколько отчетов. В общей сложности, удалось найти уязвимость, которая затронула и «ВКонтакте», и ICQ, до этого проверял еще одну уязвимость во «ВКонтакте». Это тоже касается получения приватных данных, но раскрыть я ее пока не могу.

Та самая уязвимость, которую удалось обнаружить во «ВКонтакте» и ICQ и за которую удалось получить в общей сложности три тысячи долларов, кому она могла угрожать? И как тебе удалось ее найти?

Эту задачу я делал где-то в течение двух дней, хотя по общему времени она заняла часа четыре. Уязвимость заключалась в том, что там есть сессия, и по этой сессии генерируется код восстановления, который отправляется на телефон. Но никто не предполагал, что сессии могут быть одинаковыми. Я же сделал так, что сессии были действительно одинаковые: то есть одинаковый код можно отправить на разные телефоны. Эта уязвимость позволяла взломать большинство аккаунтов в социальной сети, в безопасности были только аккаунты с двухфакторной авторизацией (у них нельзя делать восстановление по номеру телефона). Подробно ход работы расписан на Хабре.

Источник: habrahabr.ru
Источник: habrahabr.ru

Кстати, решил написать туда в первый раз, раньше преимущественно читал. Уязвимость хоть и простая, но достаточно серьезная и на нее долго не обращали внимания. Да и на HackerOne видели не так много людей. Поэтому хотелось рассказать об этом, чтобы узнали и были предупреждены больше людей. Сразу после обнаружения я написал репорт на HackerOne. Уже через 17 часов уязвимость была устранена. Спустя несколько дней мне выплатили 2000$. Также я выяснил, что такая уязвимость существовала и в ICQ. В программе bug-bounty ICQ мне была сделана доплата в размере 1000$

Первые впечатления твои и родных, когда узнал о награде? Уже спланировал, как потратишь заработанные деньги?

Наталья Глебова (мама): Лично я об этом выигрыше узнала только два дня назад, Хотя все произошло в апреле. А папа еще даже не знает. Сначала я, естественно, не поверила, потому что в принципе никогда не воспринимала такие вещи или все, что связано с киберспортом, как серьезный источник дохода.

Илья Глебов: Все равно до 18 лет я эти деньги получить не смогу, потому что, чтобы их вывести, нужно зарегистрировать PayPal. Пока не планирую их ни на что тратить, лучше буду копить.

Кстати, на Хабре ты написал, что все произошло, когда ты «готовился» к ЕГЭ по информатике — именно так, в кавычках.

Все действительно произошло, когда я готовился к ЕГЭ по информатике. Там была задача под номером 27. Смысл в том, что в ней было очень много параметров — х1, х2, х3, х4, х5 и так далее. Надо было пробовать, перебирать. И мне так надоело это делать, что я просто решил отвлечься и что-нибудь почитать. Наткнулся на статью об уязвимости в Facebook и решил попробовать этот способ на ВК. Вообще, новости я читаю часто. Всегда слежу за Хабром, на HackerOne регулярно читаю репорты от других компаний, пользователей.

В итоге как ты сдал ЕГЭ?

По информатике я набрал 97 баллов, а вот с математикой не сложилось — всего 62 балла, хотя задачи на самом деле были достаточно простые, решать можно было все. Но я просто сделал глупые ошибки. Например, в задаче присутствует t-3 и все в квадрате, я начинаю решать и по ходу теряю квадрат. Или где-то забыл поставить запятую. Хотя в школе, помимо информатики, любил именно математику и физику. По этим предметам у нас в школе очень хорошие учителя, мне всегда нравилось, как они преподают. Да и при подготовке к экзаменам все получалось гораздо лучше.

ЕГЭ по математике. Источник: nrnews.ru
ЕГЭ по математике. Источник: nrnews.ru

Многие ребята уже за год, а то и за два начинают готовиться к ЕГЭ, ходят к репетиторам, в подготовительные школы. Ты ходил?

Можно было при лицее ходить на подготовку к ЕГЭ по информатике, но зачем? ЕГЭ по этому предмету был не очень сложный, я готовился сам. Я в принципе никогда не ходил ни к одному репетитору. Когда я готовился, решал типовые задачи, если что-то не понимал, конечно, искал решение в интернете, разбирался. По информатике, например, очень помог сайт Константина Полякова, там задачи разбиты на блоки и к каждой задаче есть пояснения.

Наталья Глебова: У нас город в принципе небольшой, всего 40 тысяч населения. Из сильных хороших школ, пожалуй, есть только две: гимназия, где учился Илья, и лицей. Остальное — это все средние школы, половина из которых учит только до девятого класса. Когда зашел вопрос о подготовке к ЕГЭ, он сказал, что хорошего репетитора в городе мы вряд ли найдем, поэтому лучше, если он сам посмотрит в интернете.

Кто-то помогал в семье с подготовкой?

Наталья Глебова: У нас в семье нет программистов, у меня экономическое образование, муж — инженер, окончил Горный. Мы работаем в металлургической отрасли. Поэтому, сколько помню, всегда, когда какие-то проблемы возникали с компьютером дома — сломалась машина, не загружается и так далее — все несли к Илье. Среди знакомых даже не к кому было обратиться, зато Илья все знал и мог исправить. Компьютер у нас появился где-то в 2004 году, когда ему было четыре года.

Илья Глебов: Он был еще совсем старый, с огромным монитором.

Наталья Глебова: И был куплен в кредит и на занятые у бабушки деньги. Сколько помню, он уже после начальной школы стал активно им заниматься, начал что-то читать по теме.

Неужели не ругали, что ребенок слишком долго сидит за компьютером?

Наталья Глебова: Нет, ограничивать особо не приходилось, потому что Илья успевал и учиться хорошо, и поиграть, и что-то поделать за компьютером. В целом он всегда был самостоятельным и никогда не был под контролем. Он ходил на плавание, занимался горными лыжами. И сейчас каждый год мы ездим в Финляндию кататься на лыжах. Причем Илья не любит кататься по нормальным трассам, любит по лесу. И не боится совершенно.

Илья Глебов с семьей
Илья Глебов с семьей

Илья, а с чего началось уже серьезное увлечение информатикой, желание продвинуться куда-то дальше?

Вообще, информатика у нас в школе была со второго класса. Там, конечно, все было несерьезно. А увлекся я всем этим, наверное, классе в восьмом. Начал с программирования, это были разные небольшие программы для себя, для облегчения рутинных задач. Например, была простенькая программа для того, чтобы просто склеить много текстовых файлов. Я сделал маленькое окошко, куда можно закинуть все документы и на выходе получить один большой текстовый файл. И все остальное в таком духе.

Первые знания по программированию, конечно, искал в интернете, были разные сайты с уроками. Что не понимал, искал еще где-то дополнительно. Мне всегда интересно было узнавать и понять, как работают какие-либо приложения, защищаются данные, как в целом работает эта система.

Есть кто-то, на кого бы хотелось равняться?

Павел Дуров. Мне близка его позиция по многим вопросам, особенно что касается защиты информации. Кроме того, я слежу за чемпионатом мира по программированию ACM ICPC, победителями которого становились и Николай Дуров, и уже семь раз команда Университета ИТМО. Слежу как за командами, так и за чемпионатом в целом. Смотрел даже задачи, но там, конечно, очень серьезный уровень.

А за кого болел в этом году?

За команду Университета ИТМО. По моему мнению, именно у нее изначально были лучшие шансы на победу.

Тем не менее, связать свою дальнейшую жизнь ты все же планируешь с информационной безопасностью. Именно на это направление подавал документы. Почему?

Я просто хочу, чтобы информация людей была хорошо защищена, чтобы не случалось хакерских атак, да и в целом чтобы люди спали спокойно. Документы я подавал в пять разных вузов, но приоритетом является Университет ИТМО, потому что это действительно один из сильнейших IT-вузов. Хотелось бы пройти, но посмотрим, как получится.

Задумывался о карьере? Многие, кто поступает, уже рассматривают перспективы развивать собственный бизнес.

О своей компании я пока не думал. Это всегда связано с большим риском и пока я к этому не готов. Сначала, как мне кажется, лучше поработать в какой-то большой серьезной компании, набраться опыта. Что касается примеров таких компаний, в России мог бы назвать Яндекс, ВКонтакте, Jet Brains, в мире — это, конечно, Apple, Amazon, Microsoft. Серьезных планов пока не строю, ближайшая задача — поступить в вуз здесь, в Петербурге. А потом уже будет видно, как развиваться дальше.

После интервью Илья встретился с Данилом Заколдаевым, деканом факультета информационной безопасности и компьютерных технологий, и Алексеем Итиным, ответственным секретарем приемной комиссии. По результатам собеседования и проверки знаний школьника, Илье предложили обучение за счет средств Университета ИТМО по образовательной программе «Технологии защиты информации» мегафакультета «Компьютерные технологии и управление».

«На Илью мы обратили внимание на серьезном интернет-ресурсе, где специалисты в области IT общаются и делятся опытом. Знания Ильи в некоторых предметных областях значительно превосходят требования, предъявляемые ребятам его возраста: очевиден интерес к реверс-инженирингу и желание развиваться, в том числе самостоятельно. Рассчитываем, что он выдержит серьезную нагрузку базовых дисциплин в первый год обучения и сможет раскрыть свои таланты в области информационной безопасности», – комментирует Данил Заколдаев.

Алексей Итин, Данил Заколдаев, Илья Глебов, Наталья Глебова и Николай Пшеничный (начальник отдела профориентации и работы с талантами)
Алексей Итин, Данил Заколдаев, Илья Глебов, Наталья Глебова и Николай Пшеничный (начальник отдела профориентации и работы с талантами)

«Университет - центр привлечения талантов. Нам важно, чтобы в ИТМО поступали творческие и нестандартно мыслящие ребята. Поиск и привлечение высокобалльников, победителей и призеров олимпиад - важная задача вуза. Но из-за этого многие мотивированные школьники не могут поступить на бюджет, так как их баллы ЕГЭ ниже. Последние два года университет отдельно выстраивает проактивную работу по поиску и привлечению ребят, которые достигли других выдающихся и не менее значимых результатов. Ведь талант очень сложно измерить баллами или другими критериями. Иногда "горящие" глаза школьника и его мотивация, подкрепленная не всегда академическими результатами, оказывается гораздо важнее для вуза. Я уверена, что Илья отлично вольется в ITMO.FAMILY, зарекомендует себя и в учебе, и во внеучебной творческой деятельности», – говорит Анна Веклич, первый заместитель председателя Приемной комиссии Университета ИТМО.

Редакция новостного портала
Персоны
  • Данил Заколдаев

    Декан факультета информационной безопасности и компьютерных технологий

  • Алексей Итин

    Начальник Управления по развитию студенческих медиа, ответственный секретарь первого заместителя председателя приемной комиссии Университета ИТМО

  • Анна Веклич

    Начальник Департамента по стратегическим коммуникациям

Архив по годам:
Пресс-служба