Все описанные способы были отправлены «Вконтакте» через hackerone, но «Вконтакте» решили, что эти способы не являются проблемами. Решение было принято через 6 месяцев после изменения статуса репорта на «Triaged». Я пытался переубедить, но ответа не увидел.

Многие продемонстрированные ссылки у вас работать не будут, т. к. они разные для всех.


## Деанонимизация руководителей сообществ



### Через видеозаписи


> При ограниченном доступе добавлять новые видеозаписи могут только редакторы и администраторы сообщества.
На странице видеозаписей сообщества есть вкладка «Загруженные», в которой отображаются только видео, загруженные с компьютера. Если видеозаписи сообщества ограничены, то во вкладке «Загруженные» отображаются видеозаписи, которые загрузили руководители. Проблема в том, что прямые ссылки на видеозаписи содержат идентификатор загрузчика. Посмотрев идентификаторы можно деанонимизировать руководителей.

Пример на созданном сообществе: [vk.com/club143400909][1].

![image][2]

Вытягиваем прямую ссылку или hls-поток на видеозапись: [vk.com/video-143400909\_456239017][3]
Прямая ссылка: [cs632300.userapi.com/4/u237115941/videos/5115525024.240.mp4][4]
Hls-поток: [cs632300.userapi.com/video/hls/4/u237115941/videos/5115525024/index-f1-v1-a1.m3u8][5]
Видим, что руководитель [vk.com/id237115941][6].
[Читать дальше →][7]

[1]: https://vk.com/club143400909
[2]: https://pp.userapi.com/c836123/v836123941/23761/OxiIaGvA5Vc.jpg
[3]: https://vk.com/video-143400909_456239017
[4]: http://cs632300.userapi.com/4/u237115941/videos/5115525024.240.mp4
[5]: http://cs632300.userapi.com/video/hls/4/u237115941/videos/5115525024/index-f1-v1-a1.m3u8
[6]: https://vk.com/id237115941
[7]: https://habrahabr.ru/post/325840/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut