Буквально несколько минут назад тысячи различных крупных пабликов и публичных страниц во ВКонтакте запостили одинаковую запись.
Запись представляет собой ссылку на новость о том, что Вконтакте тестирует показ рекламы в личных сообщениях.
Данная новость является фейком и неправдой.
На момент написания новости было неизвестно, что именно происходило: технический это сбой, либо массовый взлом. Специалисты социальной сети уже активно работают над решением проблемы.
Ссылка в записи ведёт на вики-страницу в официальной группе Команда ВКонтакте (уже недоступна), а та, в свою очередь, копирует публикацию с LiveInternet (также недоступна).
Есть подозрения, что запись создана специально для перепоста в другие сообщества и содержит специальный скрипт. Как только админ какой-нибудь группы нажимает на ссылку, пост мгновенно дублируется в его паблике.
UPD. Сисадмины ВКонтакте уже разобрались в проблеме. В программной части соцсети была XSS-уязвимость, позволявшая выполнять произвольный JS-код:
Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.
Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется.
Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.
Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne.
UPD 2. ВКонтакте полностью закрыла уязвимость:
Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.
Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем
Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас.
Войди и оставь комментарий
Или войди с помощью
Артемка опять курнул.
@JendosRWS, да не, реально. Только что читал!
@JendosRWS, nope
@Артём Баусов, ищущий-да обрящет)))
Да, пришло, от vk-testers и некоторых других пабликов в т.ч…
ахах, обычный xss. Хотя позорище что такие детские дыры не закрыты, но учитывая культуру разработки в ВК, ничего удивительного
@picatchy, а вы лично что-то сами знаете про культуру разработки?
Я не понимаю, какого чёрта все возмущены данным постом?
@the iPhone teardown, ДА ОЧЕРЕДНАЯ ОБДИРАЛОВКА APPLE!!!
Да бляха сколько раз присылают сообщения: переводи 1 т р, или блокируем, пишешь в поддержку- отвечают, не может быть! В итоге блокируют, в поддержке идиотов что ли набирают?
Свободу Анджеле Дэвис!
Рекомендуем
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.