Ссылка на рекламное объявление (таргетинг):

https://vk.com/away.php?to=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--

Отделяем котлеты от мух

https://vk.com/away.php?to=*xscGkF2CVJ3aQBRRXpSAF3aXUBBdwFAQFgpQBxYbR**********************************************************************************************************************************************************************************************************************************************


Получаем уникальный хеш: scGkF2CVJ4aQBRRXpSAhdaXUBBdwFAQFRpQBxYbR (по всей видимости строка из случайных 40-а символов)

  • зависит от ID
  • второй символ передаваемый параметру to "x" или "R" (переход/вступление в группу)

Вывод: ссылка на редирект не закодирована, а записана в базе.

Серверная авторизация выглядит тоже странно:

server token auth:

a07ae7a2a07ae7a2a021770d23a03ff706aa07aa07ae7a2f4d359df60ae69c15b045791 $$$$^^^^$$$$^^^^%%21770d23a03ff706a$$$$$$$$^^^^f4d359df60ae69c15b045791

где

$$$$ - a07a

^^^^ - e7a2