Вконтакте был взломан 14.02.2019 (подробности взлома vk.com)
Обновлено в 20:15: Во «ВКонтакте» рассказали, что работают над устранением уязвимости и подтвердили, что она связана с XSS. На сотнях страниц появилась ссылка на пост про рекламу в личных сообщениях.
Сообщества и профили во «ВКонтакте» вечером 14 февраля начали публиковать одну и ту же запись. В ней говорилось, что в личных сообщениях в соцсети появилась реклама. При переходе по ссылке открывается пост «Команды ВКонтакте» с заголовком «ВКонтакте запустили рекламу в сообщениях».
Причиной сбоя стала XSS-уязвимость в социальной сети. Злоумышленникам удалось внедрить в страницу поста JS-скрипт, который публиковал рекламную запись в профиле и сообществах пользователя.
Вот часть скрипта, который взломал ВК:
Во «ВКонтакте» подтвердили, что уязвимость позволяла исполнять произвольный JS-код и её уже исправляют. В соцсети напомнили, что исследователи могут получить вознаграждение за найденные уязвимости через программу HackerOne.
За сутки до сбоя в сообществе «Багосы», где сидят программисты и айтишники, специализирующиеся на поиске уязвимостей во «ВКонтакте», опубликовали несколько записей про новый баг. Администраторы паблика предлагали участникам собрать несколько сотен лайков, после чего они расскажут про уязвимость.
После того, как 14 февраля во «ВКонтакте» начали появляться одинаковые записи, сообщество «Багосы» заблокировали с формулировкой о подозрительной деятельности. Под одинаковыми постами пользователи писали сообщения об этом вроде «Опять эти Багосы» и «Багосы *******».
Спасибо tjournal.
Сообщества и профили во «ВКонтакте» вечером 14 февраля начали публиковать одну и ту же запись. В ней говорилось, что в личных сообщениях в соцсети появилась реклама. При переходе по ссылке открывается пост «Команды ВКонтакте» с заголовком «ВКонтакте запустили рекламу в сообщениях».
Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости. Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js [код], уже исправляется. Сообщества не были взломаны, пароли аккаунтов менять не нужно - пресс-служба «ВКонтакте».
Причиной сбоя стала XSS-уязвимость в социальной сети. Злоумышленникам удалось внедрить в страницу поста JS-скрипт, который публиковал рекламную запись в профиле и сообществах пользователя.
Вот часть скрипта, который взломал ВК:
Во «ВКонтакте» подтвердили, что уязвимость позволяла исполнять произвольный JS-код и её уже исправляют. В соцсети напомнили, что исследователи могут получить вознаграждение за найденные уязвимости через программу HackerOne.
За сутки до сбоя в сообществе «Багосы», где сидят программисты и айтишники, специализирующиеся на поиске уязвимостей во «ВКонтакте», опубликовали несколько записей про новый баг. Администраторы паблика предлагали участникам собрать несколько сотен лайков, после чего они расскажут про уязвимость.
После того, как 14 февраля во «ВКонтакте» начали появляться одинаковые записи, сообщество «Багосы» заблокировали с формулировкой о подозрительной деятельности. Под одинаковыми постами пользователи писали сообщения об этом вроде «Опять эти Багосы» и «Багосы *******».
Спасибо tjournal.
Читайте также
Обзор iOS 14 - всё про новую систему от Apple
Сравнение iPhone 6, 6s и 7 против iPhone SE: стоит ли обновляться?
9 лучших бесплатных редакторов PDF
Как просмотреть сохраненные пароли в Google Chrome
Как просмотреть сохраненные пароли в Microsoft Edge
Ошибка не удалось найти IP-адрес сервера или не удается получить доступ к сайту
Всё что нужно знать про презентацию Apple 2019 с новым IPhone 11 и iOS 13
9 эксклюзивных фактов об Android о которых вы точно не знали