Массовый взлом сообществ «ВКонтакте», что случилось на самом деле.
Новости
Сегодня, около 20:00 по МСК 14 февраля 2019 года во «
ВКонтакте» более 3500 сообществ опубликовало ссылку на новость в «
Liveinternet» где было сказано о запуске рекламы в личных сообщениях социальной сети. Это была не рекламная компания, а взлом «ВКонтакте».
Под удар попали даже официальные сообщества социальной сети, в том числе сообщество «
Сбербанк», «
Yota», «
Код Дурова», «
ДоДо» и множество других сообществ.
Но это еще не все, дело в том, что после перехода по ссылке, автоматически публиковал данную запись во всех сообществах, где вы указаны администратором.
После появления проблемы, новость с портала «Liveinternet» удалили, в том числе и посты. Разработчики «
ВКонтакте» уже решают данную проблему.
По последним данным, инициатором выступил паблик «БАГОСИ», социальная сеть была подвергнута XSS-уязвимости, а сам код был залит на GitHab и доступен для каждого.
Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.