"Я создал эксплойт, который bruteforce-методом получает идентификаторы фотографий, загруженных в определённый период, а затем с помощью этой уязвимости получил возможность узнать прямые ссылки на изображения", – написал Хисматуллин в своём блоге. Он отметил, что раздобыть прямую ссылку можно для любого хранящегося изображения, независимо от настроек конфиденциальности.

По словам Камиля Хисматуллина, для того чтобы получить ссылки на все загруженные в течение последнего года фотографии, требуется около двух часов работы. Программист уже уведомил администрацию "ВКонтакте" о наличии уязвимости.