¬контакте был взломан 14.02.2019 (подробности взлома vk.com)

¬контакте был взломан 14.02.2019 (подробности взлома vk.com)
1 0360

ќбновлено в 20:15: ¬о Ђ¬ онтактеї рассказали, что работают над устранением у€звимости и подтвердили, что она св€зана с XSS. Ќа сотн€х страниц по€вилась ссылка на пост про рекламу в личных сообщени€х.


—ообщества и профили во Ђ¬ онтактеї вечером 14 феврал€ начали публиковать одну и ту же запись. ¬ ней говорилось, что в личных сообщени€х в соцсети по€вилась реклама. ѕри переходе по ссылке открываетс€ пост Ђ оманды ¬ онтактеї с заголовком Ђ¬ онтакте запустили рекламу в сообщени€хї.

—итуаци€ под контролем, мы начали удал€ть нежелательные публикации в течение первой минуты после обнаружени€ у€звимости. ѕереход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. ”€звимость, котора€ позвол€ла выполн€ть произвольный js [код], уже исправл€етс€. —ообщества не были взломаны, пароли аккаунтов мен€ть не нужно - пресс-служба Ђ¬ онтактеї.

ѕричиной сбо€ стала XSS-у€звимость в социальной сети. «лоумышленникам удалось внедрить в страницу поста JS-скрипт, который публиковал рекламную запись в профиле и сообществах пользовател€.

¬от часть скрипта, который взломал ¬ :


¬о Ђ¬ онтактеї подтвердили, что у€звимость позвол€ла исполн€ть произвольный JS-код и еЄ уже исправл€ют. ¬ соцсети напомнили, что исследователи могут получить вознаграждение за найденные у€звимости через программу HackerOne.

«а сутки до сбо€ в сообществе ЂЅагосыї, где сид€т программисты и айтишники, специализирующиес€ на поиске у€звимостей во Ђ¬ онтактеї, опубликовали несколько записей про новый баг. јдминистраторы паблика предлагали участникам собрать несколько сотен лайков, после чего они расскажут про у€звимость.

ѕосле того, как 14 феврал€ во Ђ¬ онтактеї начали по€вл€тьс€ одинаковые записи, сообщество ЂЅагосыї заблокировали с формулировкой о подозрительной де€тельности. ѕод одинаковыми постами пользователи писали сообщени€ об этом вроде Ђќп€ть эти Ѕагосыї и ЂЅагосы *******ї.

—пасибо tjournal.