Во «ВКонтакте» 14 февраля произошел массовый сбой. Тысячи сообществ разместили одну и ту же ссылку на статью. Это происходит, если пользователь, администрирующий сообщество, переходит по ссылке.
Рассылка спама началась в 19:40 по московскому времени. За несколько минут взломанными оказались тысячи сообществ.
Один и тот же рекламный пост появился в крупных пабликах, в том числе «Команды ВКонтакте», группы «вДудь» и сообществ федеральных СМИ.
Ссылка вела на вики-страницу в сообществе «Команда ВКонтакте». Уже в ней была размещена публикация из LiveInternet, посвященная фейковой новости о том, что соцсеть собирается внедрить рекламу в личные сообщения.
Скриншот новости:
Кто стоит за рассылкой спама «ВКонтакте»?
За этим стоит группа «Багоси» — ее участники занимаются поиском уязвимостей «ВКонтакте». Сразу после инцидента паблик заблокировали. Но остался запасной — «Багоси. Убежище багосов». Там первый пост с анонсом появился еще в 12:47 14 февраля.
Вот как это было:
Важно отметить, что сбой не является взломом. Пароли аккаунтов администраторов в безопасности. Если вы нажали на ссылку, нужно проверить все сообщества, которые вы администрируете. «ВКонтакте» сообщила, что уже устраняет проблему.
Как такое возможно?
Сбой произошел из-за уязвимости в XSS-защите социальной сети. Вот как описывают техническую сторону процесса представители паблика «Багоси»:
«В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet.
Уязвимость использовалась та же, что и год назад, тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. После устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год.
Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят».
В 2017 году «Багосы» уже проводили аналогичный рейд. Тогда тысячи сообществ опубликовали пост с новостью о смерти Алексея Навального.
Свежие комментарии