Уразливість дозволяє російським хакерам отримати доступ до облікового запису будь-якого користувача.

Програмісти Лев Локтіонов та Олександр Гребенщиков, що прославилися зломами сервісу «Вконтанте», виявили небезпечну уразливість в додатку Yo, повідомляє видання TJOURNAL. Вони виявили, що в процесі поновлення можливості входу в обліковий запис месенджера, система відсилає код підтвердження на мобільний номер абонента без перевірки належності даного номера справжньому власникові облікового запису.

Фахівці виснілось, що на сторінці відновлення пароля до облікового запису можливо ввести довільне ім'я користувача та отримати посилання на зміну пароля, використовуючи при цьому особистий номер стільникового телефону. Олександр Гребенщиков випадково знайшов цю пролом, а Лев Локтіонов винайшов метод, як заволодіти аккаунтом, використовуючи панель розробників сервісу.

Таким чином, використовуючи додаток Yo фахівці змогли відіслати повідомлення з чужих акаунтів.

Крім того, їм також вдалося отримати доступ до персонального аккаунту техдиректора TJOURNAL Іллі Чекальського і прикріпленим до нього додатковим профілям, внаслідок чого журнал припинив використання додатка при розсилці сповіщень про свіжому матеріалі.

Крім цього, виявилося, що при повторному вході в систему список контактів не зберігається, тому дістатися до адресної книги власників облікових записів програмістам не вдалося. Журналісти TJOURNAL попередили власників мессенджера про проломи, але на даний момент керівництво сервісу від коментарів утримується.