Массовый взлом сообществ «ВКонтакте», что случилось на самом деле.
Сегодня, около 20:00 по МСК 14 февраля 2019 года во «ВКонтакте» более 3500 сообществ опубликовало ссылку на новость в «Liveinternet» где было сказано о запуске рекламы в личных сообщениях социальной сети. Это была не рекламная компания, а взлом «ВКонтакте».
Под удар попали даже официальные сообщества социальной сети, в том числе сообщество «Сбербанк», «Yota», «Код Дурова», «ДоДо» и множество других сообществ.
Но это еще не все, дело в том, что после перехода по ссылке, автоматически публиковал данную запись во всех сообществах, где вы указаны администратором.
После появления проблемы, новость с портала «Liveinternet» удалили, в том числе и посты. Разработчики «ВКонтакте» уже решают данную проблему.
По последним данным, инициатором выступил паблик «БАГОСИ», социальная сеть была подвергнута XSS-уязвимости, а сам код был залит на GitHab и доступен для каждого.
Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.
-
Сергей Котов - 14.02.2019
- 5 196
- 1
VK ограничит доступ к методу секции Messages в API
15-01-2019, 18:58, Новости
Мы открылись!
24-12-2018, 16:40, Новости
Обновление бота VK Conference Kot до версии 3.1
24-01-2019, 02:53, Обновления
C 28 декабря ICQ перестает поддерживать старые версии
24-12-2018, 18:07, Новости
Заказывай!
Разработка ботов на заказ, любой сложности, обращаться:
VK KOTOFF.net - Сообщество, в личные сообщения или по контактам указанным там
mail: [email protected]
mail: [email protected]
Рекламный блок
Комментарии
Система комментариев на PHP
<Script>Alert("hello");</Script>
Генерация всевозможных комбинаций из набора символов — комбинаторика в Python (itertools)
Qwertyuiopasdfghjklzxcvbnm 1234567890
Система комментариев на PHP
Полезная статья
Создание простого Telegram-бота с клавиатурой и inline-кнопками [Часть 2]
Класс, хорошая тема
Динамическая обложка для группы ВК, последний подписчик, топ комментатор и прочее
Как отключить вывод результата cron в папку modules/cron в Open Server? Крон запускает несколько
Все комментарии..
Полный список последних комментариев
Лучшие новости
Loading...
Нашли ошибку?
Вы можете сообщить об этом администрации.
Выделив текст нажмите CTRL+Enter
Услуги/Работа
KOTOFF.net
Copyright © Footer 2019-2023. All right reserved.
KOTOFF.net - Уроки по PHP, SQL, IT новости