Во ВКонтакте массово взламывают пользователей и паблики

Буквально несколько минут назад тысячи различных крупных пабликов и публичных страниц во ВКонтакте запостили одинаковую запись.
Запись представляет собой ссылку на новость о том, что Вконтакте тестирует показ рекламы в личных сообщениях.
Данная новость является фейком и неправдой.


На момент написания новости было неизвестно, что именно происходило: технический это сбой, либо массовый взлом. Специалисты социальной сети уже активно работают над решением проблемы.
Ссылка в записи ведёт на вики-страницу в официальной группе Команда ВКонтакте (уже недоступна), а та, в свою очередь, копирует публикацию с LiveInternet (также недоступна).
Есть подозрения, что запись создана специально для перепоста в другие сообщества и содержит специальный скрипт. Как только админ какой-нибудь группы нажимает на ссылку, пост мгновенно дублируется в его паблике.
UPD. Сисадмины ВКонтакте уже разобрались в проблеме. В программной части соцсети была XSS-уязвимость, позволявшая выполнять произвольный JS-код:
Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется.

Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.

Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne.
UPD 2. ВКонтакте полностью закрыла уязвимость:
Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.

Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем

Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас.
Источник

Понравилась статья? Поделить с друзьями: