Буквально несколько минут назад тысячи различных крупных пабликов и публичных страниц во ВКонтакте запостили одинаковую запись.
Запись представляет собой ссылку на новость о том, что Вконтакте тестирует показ рекламы в личных сообщениях.
Данная новость является фейком и неправдой.
На момент написания новости было неизвестно, что именно происходило: технический это сбой, либо массовый взлом. Специалисты социальной сети уже активно работают над решением проблемы.
Ссылка в записи ведёт на вики-страницу в официальной группе Команда ВКонтакте (уже недоступна), а та, в свою очередь, копирует публикацию с LiveInternet (также недоступна).
Есть подозрения, что запись создана специально для перепоста в другие сообщества и содержит специальный скрипт. Как только админ какой-нибудь группы нажимает на ссылку, пост мгновенно дублируется в его паблике.
UPD. Сисадмины ВКонтакте уже разобрались в проблеме. В программной части соцсети была XSS-уязвимость, позволявшая выполнять произвольный JS-код:
Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.
Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется.
Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.
Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne.
UPD 2. ВКонтакте полностью закрыла уязвимость:
Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.
Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем
Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас.
(29 голосов, общий рейтинг: 2.52 из 5)
Артём Баусов
@DralkerГлавный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. По всем вопросам пишите в Telegram: @TemaBausov
14 комментариев
Форум →Артемка опять курнул.
@JendosRWS, да не, реально. Только что читал!
@JendosRWS, nope
@Артём Баусов, ищущий-да обрящет)))
Да, пришло, от vk-testers и некоторых других пабликов в т.ч…
ахах, обычный xss. Хотя позорище что такие детские дыры не закрыты, но учитывая культуру разработки в ВК, ничего удивительного
@picatchy, а вы лично что-то сами знаете про культуру разработки?
Я не понимаю, какого чёрта все возмущены данным постом?
@the iPhone teardown, ДА ОЧЕРЕДНАЯ ОБДИРАЛОВКА APPLE!!!
Да бляха сколько раз присылают сообщения: переводи 1 т р, или блокируем, пишешь в поддержку- отвечают, не может быть! В итоге блокируют, в поддержке идиотов что ли набирают?
Свободу Анджеле Дэвис!
ВК уже не тот что при Дурове
Продолжения не будет? ну тогда ловите цитату
Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали.
Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад, тогда сотрудники «ВКонтакте» кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год.
Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что же, шалость удалась.
К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.
администрация «Багосов»
Для заказа взлoма пишите в Telеgram: HACKAMOTA
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Почему не получается поделиться паролем Wi-Fi на iPhone
Почему не передаются фото с iPhone на Mac с функцией Камера Continuity
Как в iOS найти все фото и видео, которые сохранены из конкретного приложения
Как сохранить все скидочные и бонусные карты в iPhone
4 способа подключить микрофон к Mac mini
Почему на iPhone не работает распознавание текста Live Text
Что делать, если после обновления iOS или macOS задвоились контакты
Как отвязать банковскую карту от Apple ID