Во ВКонтакте массово взламывают пользователей и паблики

Артём Баусов avatar | 13
FavoriteLoading В закладки
Во ВКонтакте массово взламывают пользователей и паблики

Буквально несколько минут назад тысячи различных крупных пабликов и публичных страниц во ВКонтакте запостили одинаковую запись.

Запись представляет собой ссылку на новость о том, что Вконтакте тестирует показ рекламы в личных сообщениях.

Данная новость является фейком и неправдой.

На момент написания новости было неизвестно, что именно происходило: технический это сбой, либо массовый взлом. Специалисты социальной сети уже активно работают над решением проблемы.

Ссылка в записи ведёт на вики-страницу в официальной группе Команда ВКонтакте (уже недоступна), а та, в свою очередь, копирует публикацию с LiveInternet (также недоступна).

Есть подозрения, что запись создана специально для перепоста в другие сообщества и содержит специальный скрипт. Как только админ какой-нибудь группы нажимает на ссылку, пост мгновенно дублируется в его паблике.

UPD. Сисадмины ВКонтакте уже разобрались в проблеме. В программной части соцсети была XSS-уязвимость, позволявшая выполнять произвольный JS-код:

Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется.

Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.

Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne.

UPD 2. ВКонтакте полностью закрыла уязвимость:

Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.

Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем

Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас.

Рейтинг поста:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (2.52 из 5, оценили: 29)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Что происходит?
Прокомментировать

🙈 Комментарии 13

  1. JendosRWS avatar
    JendosRWS14 февраля в 20:05
    3

    Артемка опять курнул.

    rukamaster avatar
    rukamaster14 февраля в 20:06
    5

    @JendosRWS, да не, реально. Только что читал!

    Артём Баусов avatar
    Артём Баусов14 февраля в 20:14
    1

    @JendosRWS, nope

    JendosRWS avatar
    JendosRWS14 февраля в 20:30
    0

    @Артём Баусов, ищущий-да обрящет)))

  2. Дмитрий Скворцов avatar
    Дмитрий Скворцов14 февраля в 20:16
    0

    Да, пришло, от vk-testers и некоторых других пабликов в т.ч…

  3. picatchy avatar
    picatchy14 февраля в 20:35
    6

    ахах, обычный xss. Хотя позорище что такие детские дыры не закрыты, но учитывая культуру разработки в ВК, ничего удивительного

    iphoneriddick avatar
    iphoneriddick15 февраля в 9:13
    0

    @picatchy, а вы лично что-то сами знаете про культуру разработки?

  4. the iPhone teardown avatar
    the iPhone teardown14 февраля в 22:09
    0

    Я не понимаю, какого чёрта все возмущены данным постом?

    truetexno14 февраля в 22:55
    5

    @the iPhone teardown, ДА ОЧЕРЕДНАЯ ОБДИРАЛОВКА APPLE!!!

  5. Вячеслав avatar
    Вячеслав15 февраля в 2:07
    0

    Да бляха сколько раз присылают сообщения: переводи 1 т р, или блокируем, пишешь в поддержку- отвечают, не может быть! В итоге блокируют, в поддержке идиотов что ли набирают?

  6. Zeder avatar
    Zeder15 февраля в 4:02
    1

    Свободу Анджеле Дэвис!

  7. Suslikov avatar
    Suslikov15 февраля в 10:02
    0

    ВК уже не тот что при Дурове

  8. walkman00 avatar
    walkman0015 февраля в 13:32
    1

    Продолжения не будет? ну тогда ловите цитату

    Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали.

    Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад, тогда сотрудники «ВКонтакте» кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год.

    Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что же, шалость удалась.

    К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.

    администрация «Багосов»

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь