Во ВКонтакте массово взламывают пользователей и паблики

Буквально несколько минут назад тысячи различных крупных пабликов и публичных страниц во ВКонтакте запостили одинаковую запись.

Запись представляет собой ссылку на новость о том, что Вконтакте тестирует показ рекламы в личных сообщениях.

Данная новость является фейком и неправдой.

На момент написания новости было неизвестно, что именно происходило: технический это сбой, либо массовый взлом. Специалисты социальной сети уже активно работают над решением проблемы.

Ссылка в записи ведёт на вики-страницу в официальной группе Команда ВКонтакте (уже недоступна), а та, в свою очередь, копирует публикацию с LiveInternet (также недоступна).

Есть подозрения, что запись создана специально для перепоста в другие сообщества и содержит специальный скрипт. Как только админ какой-нибудь группы нажимает на ссылку, пост мгновенно дублируется в его паблике.

UPD. Сисадмины ВКонтакте уже разобрались в проблеме. В программной части соцсети была XSS-уязвимость, позволявшая выполнять произвольный JS-код:

Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется.

Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.

Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne.

UPD 2. ВКонтакте полностью закрыла уязвимость:

Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.

Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем

Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас.

Новости баги Безопасность ВКонтакте ещё...

iPhones.ru

Что происходит?

Войди и оставь комментарий

Или войди с помощью

<- Назад Забыли пароль? Войти

JendosRWS 14 февраля 2019

3

Артемка опять курнул.

rukamaster14 февраля 2019

5

@JendosRWS, да не, реально. Только что читал!

Артём Баусов14 февраля 2019

1

@JendosRWS, nope

JendosRWS14 февраля 2019

0

@Артём Баусов, ищущий-да обрящет)))

Войди на сайт, чтобы ответить

Ответить
Дмитрий Скворцов 14 февраля 2019

0

Да, пришло, от vk-testers и некоторых других пабликов в т.ч…

Войди на сайт, чтобы ответить

Ответить
picatchy 14 февраля 2019

6

ахах, обычный xss. Хотя позорище что такие детские дыры не закрыты, но учитывая культуру разработки в ВК, ничего удивительного

iphoneriddick15 февраля 2019

0

@picatchy, а вы лично что-то сами знаете про культуру разработки?

Войди на сайт, чтобы ответить

Ответить
the iPhone teardown 14 февраля 2019

0

Я не понимаю, какого чёрта все возмущены данным постом?

truetexno14 февраля 2019

5

@the iPhone teardown, ДА ОЧЕРЕДНАЯ ОБДИРАЛОВКА APPLE!!!

Войди на сайт, чтобы ответить

Ответить
Вячеслав 15 февраля 2019

0

Да бляха сколько раз присылают сообщения: переводи 1 т р, или блокируем, пишешь в поддержку- отвечают, не может быть! В итоге блокируют, в поддержке идиотов что ли набирают?

Войди на сайт, чтобы ответить

Ответить
Zeder 15 февраля 2019

1

Свободу Анджеле Дэвис!

Войди на сайт, чтобы ответить

Ответить