Во “ВКонтакте” 14 февраля произошел массовый сбой. Тысячи сообществ разместили одну и ту же ссылку на статью. Это происходит, если пользователь, администрирующий сообщество, переходит по ссылке.
Рассылка спама началась в 19:40 по московскому времени. За несколько минут взломанными оказались тысячи сообществ. Один и тот же рекламный пост появился в крупных пабликах, в том числе “Команды ВКонтакте”, группы “вДудь” и сообществ федеральных СМИ.
Ссылка вела на вики-страницу в сообществе «Команда ВКонтакте». Уже в ней была размещена публикация из LiveInternet, посвященная фейковой новости о том, что соцсеть собирается внедрить рекламу в личные сообщения.
Скриншот новости:
Кто стоит за рассылкой спама “ВКонтакте”?
За этим стоит группа “Багоси” – ее участники занимаются поиском уязвимостей “ВКонтакте”. Сразу после инцидента паблик заблокировали. Но остался запасной – “Багоси. Убежище багосов”. Там первый пост с анонсом появился еще в 12:47 14 февраля.
Вот как это было:
Важно отметить, что сбой не является взломом. Пароли аккаунтов администраторов в безопасности. Если вы нажали на ссылку, нужно проверить все сообщества, которые вы администрируете. “ВКонтакте” сообщила, что уже устраняет проблему.
Как такое возможно?
Сбой произошел из-за уязвимости в XSS-защите социальной сети. Вот как описывают техническую сторону процесса представители паблика “Багоси”:
“В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet.
Уязвимость использовалась та же, что и год назад, тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. После устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год.
Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят”.
В 2017 году “Багосы” уже проводили аналогичный рейд. Тогда тысячи сообществ опубликовали пост с новостью о смерти Алексея Навального.
Комментировать